<![CDATA[GETOVERX FORUM Community Support

<![CDATA[GETOVERX FORUM Community Support - Rootkits]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:51:14 +0000 MyBB <![CDATA[ROOTKIT – Necurs Rootkit]]> https://forum.getoverx.com/showthread.php?tid=47 Sat, 29 Nov 2025 15:53:50 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=47 Nombre: Necurs

Categoría: Rootkit kernel-mode

Descripción general:
Necurs es un rootkit en modo kernel utilizado para ocultar bots y otras piezas de malware en sistemas Windows. Ha sido empleado como plataforma para campañas masivas de spam, distribución de ransomware y otras amenazas, proporcionando a los atacantes un entorno persistente y difícil de detectar.

Comportamiento (lo que hace y qué oculta):

Oculta bots y procesos maliciosos:
- Manipula estructuras internas del kernel para que:
- Procesos maliciosos no aparezcan en el Administrador de tareas.
- Entradas de servicios y drivers no sean visibles en herramientas estándar.
- Ficheros y directorios asociados al botnet queden ocultos al usuario y al sistema.
Carga spam y ransomware:
- Actúa como plataforma de soporte para otros componentes:
- Bots de envío de spam masivo.
- Downloaders que traen ransomware, troyanos bancarios u otro malware.
- Facilita que estos componentes se ejecuten de forma silenciosa y persistente.
Protege procesos maliciosos:
- Intercepta y modifica llamadas de sistema para:
- Impedir que herramientas de seguridad terminen procesos del bot.
- Bloquear acceso a ficheros y claves de Registro relacionados con el malware.
- Puede desviar o manipular las operaciones de lectura de listas de procesos, módulos y conexiones de red.

Persistencia:

Instala drivers en modo kernel (rootkit de kernel) que se cargan durante el arranque del sistema.
Registra servicios y claves de arranque en el Registro para que:
- El driver rootkit y los componentes del botnet se inicien antes de muchas soluciones de seguridad.
Puede modificar estructuras internas del kernel para:
- Ocultar sus propios módulos.
- Mantenerse activo incluso cuando herramientas de usuario creen haberlo eliminado.

Hash real de referencia (SHA-256):
Muestra pública asociada a Necurs:

Code:
9b8f1ad48c7ad9f348872460cc8b7e3ae19d7dc985d4a32aaf1eb6d5a3d7bfb7

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus + Anti-rootkit avanzado:
- Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
- Directorios de sistema.
- Drivers y servicios.
- Utilizar capacidades anti-rootkit para:
- Detectar drivers maliciosos cargados en modo kernel.
- Identificar objetos ocultos (procesos, ficheros, claves de Registro) no visibles a nivel de usuario.
- Cuarentenar/eliminar:
- El driver rootkit.
- Binarios auxiliares del botnet y loaders asociados.
HIPS / EDR – Monitoreo en profundidad:
- Detectar comportamientos anómalos como:
- Carga de drivers no firmados o con firmas sospechosas.
- Manipulación de estructuras del sistema y llamadas de kernel.
- Bloqueo sistemático de accesos de herramientas de seguridad a determinados procesos o rutas.
- Configurar respuesta automática:
- Impedir la carga de drivers no autorizados.
- Registrar detalles (driver, ruta, firma) en logs unificados para análisis forense.
Hardening del sistema y control de drivers:
- Activar políticas que:
- Restringan la instalación de drivers sólo a administradores autorizados.
- Exijan firma válida para controladores en sistemas recientes.
- Auditar periódicamente:
- Lista de drivers y servicios cargados en el arranque.
- Cambios en claves de Registro críticas relacionadas con controladores y servicios.
Firewall y contención de la botnet:
- Monitorizar y bloquear conexiones salientes hacia:
- Dominios/IPs de mando y control (C2) asociadas a campañas de spam y ransomware.
- Aislar equipos sospechosos:
- Limitar su comunicación con otros endpoints internos.
- Evitar que actúen como plataforma de reenvío de spam o distribución interna de malware.
Respuesta y remediación:
- En equipos donde se sospeche de Necurs:
- Considerar análisis fuera de línea (boot desde medio limpio) para limpieza de rootkit.
- Realizar imagen de disco y captura de memoria para análisis forense.
- Tras la erradicación:
- Cambiar credenciales (especialmente en sistemas administrados desde el host comprometido).
- Revisar correos, servidores y colas de spam para detectar abuso.

Notas opcionales:
- Necurs ha sido uno de los rootkits/botnets más relevantes en campañas de spam y distribución de ransomware, destacando por su resistencia a la detección gracias al uso intensivo de técnicas a nivel de kernel.]]> Nombre: Necurs

Categoría: Rootkit kernel-mode

Descripción general:
Necurs es un rootkit en modo kernel utilizado para ocultar bots y otras piezas de malware en sistemas Windows. Ha sido empleado como plataforma para campañas masivas de spam, distribución de ransomware y otras amenazas, proporcionando a los atacantes un entorno persistente y difícil de detectar.

Comportamiento (lo que hace y qué oculta):

Oculta bots y procesos maliciosos:
- Manipula estructuras internas del kernel para que:
- Procesos maliciosos no aparezcan en el Administrador de tareas.
- Entradas de servicios y drivers no sean visibles en herramientas estándar.
- Ficheros y directorios asociados al botnet queden ocultos al usuario y al sistema.
Carga spam y ransomware:
- Actúa como plataforma de soporte para otros componentes:
- Bots de envío de spam masivo.
- Downloaders que traen ransomware, troyanos bancarios u otro malware.
- Facilita que estos componentes se ejecuten de forma silenciosa y persistente.
Protege procesos maliciosos:
- Intercepta y modifica llamadas de sistema para:
- Impedir que herramientas de seguridad terminen procesos del bot.
- Bloquear acceso a ficheros y claves de Registro relacionados con el malware.
- Puede desviar o manipular las operaciones de lectura de listas de procesos, módulos y conexiones de red.

Persistencia:

Instala drivers en modo kernel (rootkit de kernel) que se cargan durante el arranque del sistema.
Registra servicios y claves de arranque en el Registro para que:
- El driver rootkit y los componentes del botnet se inicien antes de muchas soluciones de seguridad.
Puede modificar estructuras internas del kernel para:
- Ocultar sus propios módulos.
- Mantenerse activo incluso cuando herramientas de usuario creen haberlo eliminado.

Hash real de referencia (SHA-256):
Muestra pública asociada a Necurs:

Code:
9b8f1ad48c7ad9f348872460cc8b7e3ae19d7dc985d4a32aaf1eb6d5a3d7bfb7

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus + Anti-rootkit avanzado:
- Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
- Directorios de sistema.
- Drivers y servicios.
- Utilizar capacidades anti-rootkit para:
- Detectar drivers maliciosos cargados en modo kernel.
- Identificar objetos ocultos (procesos, ficheros, claves de Registro) no visibles a nivel de usuario.
- Cuarentenar/eliminar:
- El driver rootkit.
- Binarios auxiliares del botnet y loaders asociados.
HIPS / EDR – Monitoreo en profundidad:
- Detectar comportamientos anómalos como:
- Carga de drivers no firmados o con firmas sospechosas.
- Manipulación de estructuras del sistema y llamadas de kernel.
- Bloqueo sistemático de accesos de herramientas de seguridad a determinados procesos o rutas.
- Configurar respuesta automática:
- Impedir la carga de drivers no autorizados.
- Registrar detalles (driver, ruta, firma) en logs unificados para análisis forense.
Hardening del sistema y control de drivers:
- Activar políticas que:
- Restringan la instalación de drivers sólo a administradores autorizados.
- Exijan firma válida para controladores en sistemas recientes.
- Auditar periódicamente:
- Lista de drivers y servicios cargados en el arranque.
- Cambios en claves de Registro críticas relacionadas con controladores y servicios.
Firewall y contención de la botnet:
- Monitorizar y bloquear conexiones salientes hacia:
- Dominios/IPs de mando y control (C2) asociadas a campañas de spam y ransomware.
- Aislar equipos sospechosos:
- Limitar su comunicación con otros endpoints internos.
- Evitar que actúen como plataforma de reenvío de spam o distribución interna de malware.
Respuesta y remediación:
- En equipos donde se sospeche de Necurs:
- Considerar análisis fuera de línea (boot desde medio limpio) para limpieza de rootkit.
- Realizar imagen de disco y captura de memoria para análisis forense.
- Tras la erradicación:
- Cambiar credenciales (especialmente en sistemas administrados desde el host comprometido).
- Revisar correos, servidores y colas de spam para detectar abuso.

Notas opcionales:
- Necurs ha sido uno de los rootkits/botnets más relevantes en campañas de spam y distribución de ransomware, destacando por su resistencia a la detección gracias al uso intensivo de técnicas a nivel de kernel.]]> <![CDATA[ROOTKIT – ZeroAccess]]> https://forum.getoverx.com/showthread.php?tid=31 Sat, 29 Nov 2025 15:38:34 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=31 Nombre: ZeroAccess

Categoría: Rootkit

Familia: Sirefef / ZeroAccess

Descripción general:
ZeroAccess (también conocido como Sirefef) es un rootkit avanzado para Windows que opera a bajo nivel del sistema para ocultar su presencia y mantener una botnet. Se ha utilizado para minería de criptomonedas, fraude por clics y distribución de otros componentes maliciosos.

Comportamiento (lo que hace y qué oculta):

Inyección en kernel:
- Inyecta código en el kernel de Windows para interceptar y manipular llamadas del sistema.
- Modifica estructuras internas para controlar cómo el sistema enumera procesos, archivos y controladores.
Oculta archivos y procesos:
- Oculta procesos maliciosos para que no aparezcan en el Administrador de tareas u otras herramientas estándar.
- Oculta archivos y directorios asociados al malware, dificultando su detección y eliminación.
Botnet para minería y clics fraudulentos:
- Conecta el equipo a una botnet:
- Uso de recursos de CPU/GPU para minería de criptomonedas.
- Generación de clics fraudulentos en anuncios online para monetización ilícita.
- Puede descargar y ejecutar payloads adicionales (otros troyanos, adware u otro malware).

Persistencia:

Instala drivers maliciosos en modo kernel que se cargan durante el arranque del sistema.
Ubicación típica de los controladores del rootkit:

Code:
C:\WINDOWS\system32\drivers\*random*.sys
Registra estos drivers y servicios en el Registro para asegurar que:
- El rootkit se cargue en cada inicio antes de muchas soluciones de seguridad.
- Sus componentes permanezcan activos incluso tras reinicios.

Hash real de referencia (SHA-256):
Muestra pública asociada a ZeroAccess:

Code:
1fbc205bc5259208bf3d1a83fd265eeb2fcd723599933d8493be6cb6f277d593

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus + Anti-rootkit:
- Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
- Directorios de sistema.
- Carpeta de drivers (
Code:
system32\drivers
).
- Usar capacidades anti-rootkit para:
- Detectar drivers en modo kernel ocultos o no listados correctamente.
- Identificar procesos y archivos ocultos por ZeroAccess.
- Cuarentenar/eliminar:
- El driver rootkit (
Code:
*random*.sys
).
- Binarios y módulos asociados a la botnet y a la minería/click-fraud.
HIPS / EDR – Control de drivers y comportamiento anómalo:
- Bloquear la carga de drivers no firmados o no confiables.
- Generar alertas cuando:
- Nuevos archivos
Code:
.sys
aparezcan en
Code:
system32\drivers
desde procesos desconocidos.
- Se detecten intentos de esconder procesos o manipular listados del sistema.
- Monitorizar picos de uso anómalo de CPU/GPU que puedan indicar minería oculta.
Hardening del sistema:
- Restringir la instalación de drivers sólo a administradores autorizados.
- Activar políticas que requieran firma digital válida para controladores en sistemas compatibles.
- Auditar periódicamente:
- Lista de drivers cargados.
- Claves de Registro de arranque relacionadas con servicios y controladores.
Firewall y contención de la botnet:
- Monitorizar y bloquear conexiones salientes hacia:
- Dominios/IPs de mando y control (C2) asociados a ZeroAccess (minería y clics fraudulentos).
- Aislar equipos sospechosos:
- Limitar su comunicación con otros hosts internos.
- Evitar que actúen como nodos de la botnet.
Remediación:
- Considerar la limpieza desde un medio de arranque limpio (offline) para eliminar el rootkit de forma fiable.
- Tras la erradicación:
- Revisar y endurecer el inventario de software instalado.
- Comprobar que no queden payloads secundarios (troyanos, adware, herramientas de acceso remoto).

]]> Nombre: ZeroAccess

Categoría: Rootkit

Familia: Sirefef / ZeroAccess

Descripción general:
ZeroAccess (también conocido como Sirefef) es un rootkit avanzado para Windows que opera a bajo nivel del sistema para ocultar su presencia y mantener una botnet. Se ha utilizado para minería de criptomonedas, fraude por clics y distribución de otros componentes maliciosos.

Comportamiento (lo que hace y qué oculta):

Inyección en kernel:
- Inyecta código en el kernel de Windows para interceptar y manipular llamadas del sistema.
- Modifica estructuras internas para controlar cómo el sistema enumera procesos, archivos y controladores.
Oculta archivos y procesos:
- Oculta procesos maliciosos para que no aparezcan en el Administrador de tareas u otras herramientas estándar.
- Oculta archivos y directorios asociados al malware, dificultando su detección y eliminación.
Botnet para minería y clics fraudulentos:
- Conecta el equipo a una botnet:
- Uso de recursos de CPU/GPU para minería de criptomonedas.
- Generación de clics fraudulentos en anuncios online para monetización ilícita.
- Puede descargar y ejecutar payloads adicionales (otros troyanos, adware u otro malware).

Persistencia:

Instala drivers maliciosos en modo kernel que se cargan durante el arranque del sistema.
Ubicación típica de los controladores del rootkit:

Code:
C:\WINDOWS\system32\drivers\*random*.sys
Registra estos drivers y servicios en el Registro para asegurar que:
- El rootkit se cargue en cada inicio antes de muchas soluciones de seguridad.
- Sus componentes permanezcan activos incluso tras reinicios.

Hash real de referencia (SHA-256):
Muestra pública asociada a ZeroAccess:

Code:
1fbc205bc5259208bf3d1a83fd265eeb2fcd723599933d8493be6cb6f277d593

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus + Anti-rootkit:
- Ejecutar escaneos completos con el motor AV de GetOverX Shield, incluyendo:
- Directorios de sistema.
- Carpeta de drivers (
Code:
system32\drivers
).
- Usar capacidades anti-rootkit para:
- Detectar drivers en modo kernel ocultos o no listados correctamente.
- Identificar procesos y archivos ocultos por ZeroAccess.
- Cuarentenar/eliminar:
- El driver rootkit (
Code:
*random*.sys
).
- Binarios y módulos asociados a la botnet y a la minería/click-fraud.
HIPS / EDR – Control de drivers y comportamiento anómalo:
- Bloquear la carga de drivers no firmados o no confiables.
- Generar alertas cuando:
- Nuevos archivos
Code:
.sys
aparezcan en
Code:
system32\drivers
desde procesos desconocidos.
- Se detecten intentos de esconder procesos o manipular listados del sistema.
- Monitorizar picos de uso anómalo de CPU/GPU que puedan indicar minería oculta.
Hardening del sistema:
- Restringir la instalación de drivers sólo a administradores autorizados.
- Activar políticas que requieran firma digital válida para controladores en sistemas compatibles.
- Auditar periódicamente:
- Lista de drivers cargados.
- Claves de Registro de arranque relacionadas con servicios y controladores.
Firewall y contención de la botnet:
- Monitorizar y bloquear conexiones salientes hacia:
- Dominios/IPs de mando y control (C2) asociados a ZeroAccess (minería y clics fraudulentos).
- Aislar equipos sospechosos:
- Limitar su comunicación con otros hosts internos.
- Evitar que actúen como nodos de la botnet.
Remediación:
- Considerar la limpieza desde un medio de arranque limpio (offline) para eliminar el rootkit de forma fiable.
- Tras la erradicación:
- Revisar y endurecer el inventario de software instalado.
- Comprobar que no queden payloads secundarios (troyanos, adware, herramientas de acceso remoto).

]]>