Portal Fator Brasil - Boot Loaders Maliciosos: Kaspersky Lab alerta sobre nova técnica para remover softwares de segurança

Portal Fator Brasil:Boot Loaders Maliciosos: Kaspersky Lab alerta sobre nova técnica para remover softwares de segurança



São Paulo –Os cibercriminosos estão sempre procurando por novas formas de infectar um sistema e remover as proteções de segurança – preferencialmente de uma maneira que o usuário não perceba, até ser tarde demais. A criatividade dos criadores de vírus no Brasil não tem limite e podemos verificar isso novamente com a mais nova onda de boot loaders maliciosos.

O objetivo final não é nenhuma novidade: remover softwares de segurança e roubar credenciais bancárias. Esta infecção inédita foi criada exclusivamente para sistemas operacionais que usam o arquivo NTLDR como boot loader, presente nos sistemas Windows XP, Windows Server 2003 e outros mais antigos. Esta escolha é conivente, considerado que o XP ainda é o sistema operacional mais popular no Brasil (47% do total das máquinas).

O arquivo NTLDR (abreviatura de New Technology Loader ou Carregador da Nova Tecnologia) é um componente essencial do Windows responsável pela carga do sistema operacional (boot loader no jargão técnico). Boot loaders permitem, por exemplo, que um computador tenha dois sistemas operacionais diferentes instalados, dando a opção para que o usuário escolha na inicialização qual sistema ele deseja usar. O NTLDR está presente nas versões da família Windows NT incluindo Windows XP e Windows Server 2003. Em geral é executado a partir de uma partição primária no disco rígido. Nos sistemas Linux os boot loaders mais conhecidos são o GRUB ou o LILO.

Como ocorre a infecção- A infecção começa com o download e a execução de um pequeno arquivo, oferecido através de uma mensagem de e-mail. O arquivo, detectado como Trojan-Downloader.Win32.VB.aoff será responsável por baixar dois novos arquivos para a máquina da vítima: xp-msantivirus (1.83 MB) e xp-msclean (7.4 MB). Logo após, ele inutiliza o boot loader legítimo do Windows chamado NTLDR, renomeando-o para ntldr.old e configurando um novo boot loader malicioso na máquina da vítima.

O boot loader malicioso criado por cibercriminosos brasileiros é uma versão modificada do GRUB:

. O boot loader malicioso é uma versão modificada do GRUB e está programado para executar o arquivo menu.lst.

Depois de ativo o boot loader malicioso irá configurar o arquivo menu.lst e o arquivo xp-msantivirus para serem executados durante uma reinicialização do sistema:

.Conteúdo do arquivo menu.lst. Observe a mensagem: “Iniciando a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft”

Depois da infecção, o Trojan força a máquina ser reiniciar.



Durante a reinicialização do sistema, o boot loader malicioso executa a remoção de softwares de segurança instalados na máquina dos usuários. Entre eles estão o GBPlugin, exigido por vários bancos brasileiros em operações de internet banking. Estimasse que hoje o plugin esteja instalado em mais de 23 milhões de computadores.

Os outros arquivos removidos pelo trojan são os softwares de segurança da Microsoft: o Windows Defender e o Security Essentials:



Para justificar o longo tempo de reinicialização, o boot loader malicioso exibe algumas mensagens falsas, como supostos avisos da Ferramenta de Remoção de Software Malicioso da Microsoft:



E mensagens falsas informando que o sistema está “infectado” e que arquivos “maliciosos” estão sendo “removidos”:



Quando a reinicialização termina, a missão do boot loader malicioso está completa, então ele apaga a si mesmo e reativa o NTLDR legítimo. Porém, o trojan bancário detectado como Trojan-Downloader.Win32.Banload.bqmv ficará ativo no computador, esperando o momento oportuno para roubar as credencias bancárias da vítima.

Todos os trojans que compõem este ataque já são detectados e bloqueados por todos os produtos da Kaspersky Lab. O boot loader malicioso é detectado como Trojan.Boot.Burg.a.

A Kaspersky Lab é a maior empresa privada de segurança da internet, fornecendo proteção contra todos os tipos de ameaça de TI, como vírus, spywares, hackers, spams, entre outros. Os seus produtos proporcionam mais defesa para usuários domésticos, PMEs, grandes empresas e internet móvel; protegendo mais de 300 milhões de sistemas ao redor do mundo.

A tecnologia Kaspersky também é incorporada dentro dos produtos e serviços de aproximadamente 100 indústrias líderes de TI, redes, comunicações e fornecedores de aplicativos. Mais detalhes sobre a empresa estão disponíveis em http://brazil.kaspersky.com/. Siga a @Kaspersky no Twitter e no Facebook. [www.securelist.com | @Securelist no Twitter].