AVATAR: un rootkit que promete grandes novedades y con precio de oferta

mayo 4, 2013 § Deja un comentario

Aparece en el mercado (negro) un nuevo rootkit que según sus creadores “no es detectado por los antivirus ni por los famosos antirootkit GMER o RKU”.

En la carta de presentacion, los creadores aclaran que el rootkit no está a la venta, solo en alquiler y a un precio promocional de lanzamiento y aclaran que todavía no funciona correctamente en sistemas x64, sólo en los sistemas basados en i386.

El tamaño del ejecutable es de 120 Kb sin empaquetar y sus 327.416 líneas de codigo fueron escritas en C++ y ASM.

Tiene varias novedades para los “chicos malos”, por ejemplo trae un SDK para desarrollo llamado ASDK (Avatar Software Development Kit) y una biblioteca ARTL (Avatar Runtime Library) y una WinAPI, es decir, todo el paquete necesario para el desarrollador. El malware basa su supervivencia mediante el uso de exploits basados en Metasploit y 0-Days y no se guarda en disco sino que se carga directamente desde la memoria, lo que le permite saltear UAC y la lista blanca de software firmado de Windows.

Después de cargar correctamente el controlador del rootkit, Avatar ejecuta un algoritmo para infectar a los controladores del sistema con el fin de sobrevivir al reinicio del sistema. Con el fin de realizar su infección, Avatar elige al azar un driver y comprueba su nombre en una lista negra que varía para cada versión de Windows.

También en la presentacion en sociedad de AVATAR recuerdan los “viejos tiempos” donde uno podía mantener una botnet muchísimo tiempo sin ser descubierto y donde las botnets crecian rápidamente al igual que la monetizacion de las mismas. El negocio actual esta muy complicado y los tiempos son difíciles y, en muchos casos estan al borde del rojo financiero. Melancólicamente recuerdan el cierre de botnets de gran alcance como Waledac, Coreflood, Kelihos, Rustock y Conficker… por lo que proponen un metodo novedoso de C&C mediante conexiones cifradas con RSA de 1024 bits lo que hace más difícil la detección. Como novedad, para método de control AVATAR no utiliza los clasicos C&C sino que utiliza un híbrido entre un c&C y Grupos de Yahoo!.

Aclaran que el bajo precio es por la falta de soporte para x64 y por su debut en el mercado y que luego irán acomodando los precios para garantizar que sólo los “profesionales” tengan acceso.

La buena noticia para nosotros, los chicos buenos, es que los antivirus ya comienzan a analizarlo en profundidad y a detectarlo y pronto el todos los antivirus lo harán.

Adolfo de la Redaccion de Segu-Info (@adolfofioranell)

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo AVATAR: un rootkit que promete grandes novedades y con precio de oferta en Seguridad Informática.

Meta

A %d blogueros les gusta esto: