Una nueva variacion de malware, se presenta como una amenaza emergente y muestra una nueva integración de técnicas específicas, para conseguir una rápida propagación dentro de la red y una mayor probabilidad de llegar a posibles objetivos dentro de cualquier ambiente, haciendo uso de servicios de red.

 Este malware llamado rootkit/TDSS busca mantener acceso dentro de la máquina, después de haberla comprometido generalmente al obtener acceso como súper usuario, buscando no ser detectado y hacer uso de aplicaciones válidas dentro de la máquina o funcionalidades propias de la misma. Una variante de los rootkits altamente conocida es llamada Bootkit. Los bootkit buscan esconderse dentro del gestor de arranque y ejecutarse dentro de la transición del sistema operativo a modo protegido.

Las 2 últimas variantes de este malware han incluido las mejoras incluidas en sus antecesores con elementos de otras piezas de malware bien conocidas (MBR Rootkits, Rustock.c) para hacerse casi indetectables. Dentro de las técnicas heredadas para no ser descubierto el TDSS se esconde los últimos sectores del disco duro, fuera del sistema de archivos, para no ser detectado como bytes normales escritos en el disco y poder saltar diferentes tipos de revisiones de seguridad, sin embargo su sofisticación va un paso más allá, ya que codifica cada uno de sus componentes cuando son escritos en el disco, y realiza una codificación y decodificación en la marcha. El TDSS realiza una búsqueda de un driver específico y rescribe su último sector con el fin de no ser detectado. Su objetivo principal es poder esparcirse con facilidad por toda la red, obteniendo control total de los equipos infectados y haciendo uso de ellos como zombies dentro de una botnet.

El loader del TDSS es llamado Net-Worm.Win32.Rorpian y sus vectores de propagación generalmente son: • Medios Removibles • LAN La infección por medios removibles genera diferentes archivos .lnk y .inf que tienen los enlaces hacia el archivo rundll32.exe, el cual contiene los parámetros de referencia del malware que los llevan a las librerías que ejecutan el mismo, infectando sistemas de 32 y 64 bits. Pero cuando la propagación del mismo se hace por medio de la red, la última versión de este malware ha implementado una técnica bastante efectiva y novedosa. Para infectar equipos dentro de la red, el loader (que funciona como un gusano cuando ya se encuentra dentro de la red) revisa si se encuentra un servidor DHCP dentro de la misma. Si la victima se encuentra dentro del segmento que usa DHCP, el gusano escanea la red en búsqueda de direcciones IP disponibles. Después de realizada esta acción, el gusano lanza su propio servidor DHCP, cuando cualquier equipo en la red trata de obtener una dirección dentro del segmento, el gusano responde antes que el servidor DHCP legítimo y le entrega una configuración compuesta por: • Una dirección válida disponible dentro del segmento • El gateway que es el equipo ya comprometido • La dirección DNS de un servidor malicioso Después de entregada la nueva configuración al usuario todo intento de navegación que realice un usuario, será redirigido a un servidor malicioso, que le pide realizar la actualización de su navegador. Con la instalación de la supuesta actualización, el usuario instala dentro de su máquina una variante del Net-Worm.Win32.Rorpian y automáticamente se realiza un cambio de la dirección del DNS a un servidor de Google, permitiendo que el usuario pueda navegar. Este malware ha sido claramente identificado dentro de la familia de crimeware y su ejecución busca el robo de información, basado en un interés monetario.

 Los sistemas SCADA no fueron creados para conectarse a internet, la falta de prevención y contención en esta clase de sistemas, permitirá futuros ataques de los que ya tendremos noticia”, es la apreciación de la mayoría de expertos especializados en este tipo de sistemas.