Rootkit Sirefef redirecciona a Medashifting

Vuelve a la escena una de las amenazas de la web, el rotkit ZeroAccess (Sirefef) con un crecimiento notable en los últimos meses, debido a la evolución de sus variantes.

Con un 30% de infecciones entre todas las reportadas, dicho rootkit supera con creces a otros programas maliciosos tales como Zeus, TDSS, etc. y sólo superado por el Ransomware del Virus de la Policía.

Dicho programa utiliza técnicas para ocultar su presencia, funciona en Windows 32 y 64 bit, y puede descargar otros programas maliciosos en el equipo. También reemplaza algunos archivos del sistema operativo que son críticos para su funcionamiento,  así  como algunos de la estructura del kernel para hacerlo invisible tanto al antivirus como al sistema operativo.

Los métodos que utiliza este programa para infectar equipos son los conocidos Exploit packs e ingeniería social, los creadores de este tipo de programas utilizan progarmas como Black Exploit Kit, que se dirigen a un sinnúmero de aplicaciones encontradas en equipos con Windows y Mac.

De esta manera, infectan sitios web con una serie de scripts php, lo cual provoca que al visitar el sitio nuestro equipo quede inmediatamente infectado sin haber descargado ningún archivo en absoluto. Otra de las técnicas es la ingeniería social, convenciendo al usuario de que ejecute un archivo, con la promesa de obtener algún programa o juego pirata, entre otras cosas.

Entre las acciones realizadas por el rootkit están las siguientes:

Convierte el equipo en una botnet.

Bloquea nuestro programa antivirus.

Descarga falsos antivirus.

Reemplaza archivos importantes para el funcionamiento del sistema.

bloquea el acceso a determinados sitios de seguridad informática.

Infecta un archivo aleatorio ejecutable localizado en la carpeta system32, el cual vuelve a infectar al sistema, en caso de que el rootkit se inactive.

Redirige las búsquedas de Google a sus sitios web afiliados.