Alureon

Sep 22, 2021
admin

El arranque Allure fue identificado por primera vez alrededor de 2007. Los ordenadores personales suelen infectarse cuando los usuarios descargan e instalan manualmente un software troyano. Se sabe que Alureon viene incluido en el software de seguridad fraudulento Security Essentials 2010. Cuando se ejecuta el dropper, primero secuestra el servicio de cola de impresión (spoolsv.exe) para actualizar el registro de arranque maestro y ejecutar una rutina de arranque modificada. A continuación, infecta los controladores de bajo nivel del sistema, como los responsables de las operaciones PATA (atapi.sys), para implementar su rootkit.

Una vez instalado, Alureon manipula el Registro de Windows para bloquear el acceso al Administrador de tareas de Windows, Windows Update y el escritorio. También intenta desactivar el software antivirus. También se sabe que Alureon redirige los motores de búsqueda para cometer fraude de clics. Google ha tomado medidas para mitigar esto para sus usuarios mediante el escaneo de la actividad maliciosa y advirtiendo a los usuarios en el caso de una detección positiva.

El malware atrajo una considerable atención pública cuando un error de software en su código causó que algunos sistemas Windows de 32 bits se bloquearan al instalar la actualización de seguridad MS10-015. El malware utilizaba una dirección de memoria codificada en el kernel que cambió tras la instalación de la revisión. Posteriormente, Microsoft modificó el hotfix para impedir la instalación si había una infección de Alureon. El autor o autores del malware también corrigieron el error en el código.

En noviembre de 2010, la prensa informó de que el rootkit había evolucionado hasta el punto de ser capaz de eludir el requisito obligatorio de firma de controladores en modo kernel de las ediciones de 64 bits de Windows 7. Lo hizo subvirtiendo el registro de arranque maestro, lo que lo hizo especialmente resistente en todos los sistemas a la detección y eliminación por parte del software antivirus.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.