Aparece en el mercado (negro) un nuevo rootkit que según sus creadores "no es detectado por los antivirus ni por los famosos antirootkit GMER o RKU".
En la carta de presentación, los creadores aclaran que el rootkit no está a la venta, solo en alquiler y a un precio promocional de lanzamiento y aclaran que todavía no funciona correctamente en sistemas x64, sólo en los sistemas basados en i386.
El tamaño del ejecutable es de 120 Kb sin empaquetar y sus 327.416 líneas de código fueron escritas en C++ y ASM.
Tiene varias novedades para los "chicos malos", por ejemplo trae un SDK para desarrollo llamado ASDK (Avatar Software Development Kit) y una biblioteca ARTL (Avatar Runtime Library) y una WinAPI, es decir, todo el paquete necesario para el desarrollador. El malware basa su supervivencia mediante el uso de exploits basados en Metasploit y 0-Days y no se guarda en disco sino que se carga directamente desde la memoria, lo que le permite saltear UAC y la lista blanca de software firmado de Windows.
Después de cargar correctamente el controlador del rootkit, Avatar ejecuta un algoritmo para infectar a los controladores del sistema con el fin de sobrevivir al reinicio del sistema. Con el fin de realizar su infección, Avatar elige al azar un driver y comprueba su nombre en una lista negra que varía para cada versión de Windows.
También en la presentación en sociedad de AVATAR recuerdan los "viejos tiempos" donde uno podía mantener una botnet muchísimo tiempo sin ser descubierto y donde las botnets crecían rápidamente al igual que la monetización de las mismas. El negocio actual esta muy complicado y los tiempos son difíciles y, en muchos casos estan al borde del rojo financiero. Melancólicamente recuerdan el cierre de botnets de gran alcance como Waledac, Coreflood, Kelihos, Rustock y Conficker... por lo que proponen un método novedoso de C&C mediante conexiones cifradas con RSA de 1024 bits lo que hace más difícil la detección. Como novedad, para método de control AVATAR no utiliza los clásicos C&C sino que utiliza un híbrido entre un C&C y Grupos de Yahoo!.
Aclaran que el bajo precio es por la falta de soporte para x64 y por su debut en el mercado y que luego irán acomodando los precios para garantizar que sólo los "profesionales" tengan acceso.
La buena noticia para nosotros, los chicos buenos, es que los antivirus ya comienzan a analizarlo en profundidad y a detectarlo y pronto el todos los antivirus lo harán.
Fuente: Segu-Info
