30
Ago
Toyano Rustock / pe386
Este texto fue publicado por EP_X00F en los foros de sysinternals.
aqui
-- comienza traducción --
Hola
El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.
Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).
La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.
i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)
SSDT patching y IRP hooking
??windev.sys (2006?)
No hay información
pe386.sys (2006)
Hooking de la SYSCALL / ocultacion del driver.
mni41.sys (2006)*
*El driver puede tener un nombre aleatorio.
SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)
Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.
huy32.sys (2006)
Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal
lzx32.sys (2006)
Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.
Rustock.C (2006)
??Rustock.D (2007?)
Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)
Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).
Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.
-- Termina traducción --
Saludos
aqui
-- comienza traducción --
Hola
El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.
Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).
La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.
i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)
SSDT patching y IRP hooking
??windev.sys (2006?)
No hay información
pe386.sys (2006)
Hooking de la SYSCALL / ocultacion del driver.
mni41.sys (2006)*
*El driver puede tener un nombre aleatorio.
SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)
Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.
huy32.sys (2006)
Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal
lzx32.sys (2006)
Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.
Rustock.C (2006)
??Rustock.D (2007?)
Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)
Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).
Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.
-- Termina traducción --
Saludos
Escribir un comentario