11-29-2025, 03:38 PM
(This post was last modified: 12-07-2025, 04:24 PM by mrwebfeeder.)
Nombre: ZeroAccess
Categoría: Rootkit
Familia: Sirefef / ZeroAccess
Descripción general:
ZeroAccess (también conocido como Sirefef) es un rootkit avanzado para Windows que opera a bajo nivel del sistema para ocultar su presencia y mantener una botnet. Se ha utilizado para minería de criptomonedas, fraude por clics y distribución de otros componentes maliciosos.
Comportamiento (lo que hace y qué oculta):
- Inyección en kernel:
- Inyecta código en el kernel de Windows para interceptar y manipular llamadas del sistema.
- Modifica estructuras internas para controlar cómo el sistema enumera procesos, archivos y controladores.
- Oculta archivos y procesos:
- Oculta procesos maliciosos para que no aparezcan en el Administrador de tareas u otras herramientas estándar.
- Oculta archivos y directorios asociados al malware, dificultando su detección y eliminación.
- Botnet para minería y clics fraudulentos:
- Conecta el equipo a una botnet:
- Uso de recursos de CPU/GPU para minería de criptomonedas.
- Generación de clics fraudulentos en anuncios online para monetización ilícita.
- Puede descargar y ejecutar payloads adicionales (otros troyanos, adware u otro malware).
Persistencia:
- Instala drivers maliciosos en modo kernel que se cargan durante el arranque del sistema.
- Ubicación típica de los controladores del rootkit:
Code:C:\WINDOWS\system32\drivers\*random*.sys - Registra estos drivers y servicios en el Registro para asegurar que:
- El rootkit se cargue en cada inicio antes de muchas soluciones de seguridad.
- Sus componentes permanezcan activos incluso tras reinicios.
Hash real de referencia (SHA-256):
Muestra pública asociada a ZeroAccess:
Code:
1fbc205bc5259208bf3d1a83fd265eeb2fcd723599933d8493be6cb6f277d593Mitigación con GetOverX Shield v3.0.2.0 o superior:
- Antivirus + Anti-rootkit:
- Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
- Directorios de sistema.
- Carpeta de drivers ().Code:system32\drivers
- Usar capacidades anti-rootkit para:
- Detectar drivers en modo kernel ocultos o no listados correctamente.
- Identificar procesos y archivos ocultos por ZeroAccess.
- Cuarentenar/eliminar:
- El driver rootkit ().Code:*random*.sys
- Binarios y módulos asociados a la botnet y a la minería/click-fraud.
- HIPS / EDR – Control de drivers y comportamiento anómalo:
- Bloquear la carga de drivers no firmados o no confiables.
- Generar alertas cuando:
- Nuevos archivosaparezcan enCode:.sysdesde procesos desconocidos.Code:system32\drivers
- Se detecten intentos de esconder procesos o manipular listados del sistema.
- Monitorizar picos de uso anómalo de CPU/GPU que puedan indicar minería oculta.
- Hardening del sistema:
- Restringir la instalación de drivers sólo a administradores autorizados.
- Activar políticas que requieran firma digital válida para controladores en sistemas compatibles.
- Auditar periódicamente:
- Lista de drivers cargados.
- Claves de Registro de arranque relacionadas con servicios y controladores.
- Firewall y contención de la botnet:
- Monitorizar y bloquear conexiones salientes hacia:
- Dominios/IPs de mando y control (C2) asociados a ZeroAccess (minería y clics fraudulentos).
- Aislar equipos sospechosos:
- Limitar su comunicación con otros hosts internos.
- Evitar que actúen como nodos de la botnet.
- Remediación:
- Considerar la limpieza desde un medio de arranque limpio (offline) para eliminar el rootkit de forma fiable.
- Tras la erradicación:
- Revisar y endurecer el inventario de software instalado.
- Comprobar que no queden payloads secundarios (troyanos, adware, herramientas de acceso remoto).