Alureon

Set 22, 2021
admin

A chuteira Allure foi identificada pela primeira vez por volta de 2007. Os computadores pessoais são normalmente infectados quando os usuários fazem o download e instalam manualmente o software Trojan. O Alureon é conhecido por ter sido empacotado com o software de segurança desonestos, o Security Essentials 2010. Quando o conta-gotas é executado, ele primeiro seqüestra o serviço de spooler de impressão (spoolsv.exe) para atualizar o registro de inicialização principal e executar uma rotina de bootstrap modificada. Depois ele infecta drivers de sistema de baixo nível como os responsáveis pelas operações PATA (atapi.sys) para implementar seu rootkit.

Once instalado, Alureon manipula o Registro do Windows para bloquear o acesso ao Gerenciador de Tarefas do Windows, ao Windows Update, e ao desktop. Ele também tenta desativar o software anti-vírus. Alureon também é conhecido por redirecionar os mecanismos de busca para cometer fraude de cliques. O Google tomou medidas para mitigar isso para seus usuários, verificando a atividade maliciosa e avisando os usuários no caso de uma detecção positiva.

O malware chamou considerável atenção do público quando um bug de software em seu código causou a falha de alguns sistemas Windows de 32 bits na instalação da atualização de segurança MS10-015. O malware estava usando um endereço de memória hard-coded no kernel que mudou após a instalação do hotfix. A Microsoft subsequentemente modificou o hotfix para prevenir a instalação se uma infecção de Alureon estivesse presente, O(s) autor(es) do malware também corrigiu o bug no código.

Em Novembro de 2010, a imprensa relatou que o rootkit tinha evoluído ao ponto em que era capaz de contornar o requerimento de assinatura obrigatória do driver do kernel-mode das edições de 64-bit do Windows 7. Ele fez isso subvertendo o registro de inicialização principal, o que o tornou particularmente resistente em todos os sistemas à detecção e remoção por software anti-vírus.

Deixe uma resposta

O seu endereço de email não será publicado.