Español | English
rss facebook linkedin Twitter

Drivers que cargan Drivers

Cada día es más común observar como virus, troyanos y todo tipo de especímenes utilizan técnicas de ocultación más sofisticadas. La mayoría de dichas técnicas consisten en insertar código en ring0, generalmente un driver común, que se encarga de ocultar procesos de usuario, conexiones de red, etc.

Cuando la utilización de un driver se combina con técnicas de infección, se pueden conseguir resultados más satisfactorios.

Un ejemplo de este tipo de malware es el gusano Win32.Zhelatin (es el 'famoso' binario que estamos recibiendo diariamente con el mensaje de que has recibido una postal virutal (ecard.exe)); una de sus variantes contiene un driver llamado spooldr.sys que se carga durante el inicio del sistema y es utilizado para ocultar algunas operaciones, así como para detectar la presencia de AVs y AntiRootkits.

La carga de spooldr.sys no se realiza inmediatamente, sino que se utiliza otro driver, tcpip.sys, el cual se infecta con un pequeño trozo de código. Este código es una especie de pre-cargador qeu se ejecuta cada vez que se inicia el sistema, busca una rutina no exportada de ntoskrnl.exe, MmLoadSystemImage(), y la usa para cargar spooldr.sys.

Para los más interesados, el código cargador con algunas pistas.

Actualización (15/08/2007): otra variante de Zhelatin en el blog de F-Secure

1 comentario:

stefan aguilar dijo...

Muy interesante el artículo y me hizo pensar en este interminable juego del gato y el ratón que mantienen los proveedores de software de seguridad y el mundo del underground informático.

El encontrar backdoors en un equipo es la búsqueda del grial de los hackers y el cerrar estas puertas es el tedioso trabajo de los criptólogos de los softwares de seguridad y protección.

Si tomamos el xp como ejemplo nos damos cuenta de que microsoft corrigió muchos errores de agujeros de seguridad y dejo otros muchos sin corregir y prefirió sacar Vista para corregirlos, pero esto a su vez genera que las nuevas tecnologías que implementó en Vista contaran con nuevos agujeros de seguridad. Patético!

En opinión muy personal creo que este jueguito entre hackers y suites de seguridad se terminará cuando exista un SO con inteligencia artificial, y aún en este caso creo que tampoco se acabará pues esta misma inteligencia artificial puede trabajar para ambos bandos.

Saludos y perdón por dejarme llevar un poco por mi alter ego geek.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login