O PandaLabs, o laboratório de análise e detecção de malware da Panda Security, detectou o surgimento de Trojans que incluem rootkits (MBRtool.A, MBRtool.B, MBRtool.C, etc.) desenvolvidos para substituir o master boot record (MBR), - o primeiro ou sector zero do disco rígido – por um dos seus. Isto é algo revolucionário no que respeita à utilização de rootkits, tornando ainda mais difícil detectar o código malicioso associado.O objectivo dos rootkits utilizados pelos ciber-criminosos é ocultar a acção do malware, dificultando ainda mais a sua detecção. Até agora, os rootkits eram instalados nos processos do sistema, mas as novas variantes detectadas pelo PandaLabs são instaladas numa parte do disco rígido que é executada mesmo antes do sistemas operativo ser iniciado.
Quando um destes novos rootkits é executado num sistema, efectua uma cópia do MBR existente, modificando o original com instruções maliciosas, o que significa que em caso de uma tentativa de acesso ao MBR, o rootkit irá redireccionar para o genuíno, impedindo que os utilizadores ou aplicações suspeitem de algo.
As modificações realizadas significam que quando um utilizador inicia o computador, o MBR manipulado é executado antes do sistema operativo ser carregado. Nesse momento, o rootkit executa o que resta do seu código, ocultando-se assim completamente, bem como a qualquer código malicioso associado.
Até agora, os rootkits eram utilizados para ocultar extensões ou processos, mas estes novos exemplos podem enganar directamente os sistemas. A sua localização garante que os utilizadores não se apercebem de qualquer anomalia nos processos do sistema, já que o rootkit carregado em memória monitoriza todo o acesso ao disco para tornar invisível qualquer malware associado ao sistema.
Os utilizadores devem tomar precauções contra este novo tipo de ameaça, nomeadamente não executar qualquer ficheiro de origem desconhecida.
Para remover o código malicioso, os utilizadores infectados deverão iniciar os seus computadores, utilizando um CD de arranque de forma a não executar o MBR. Deverão então restaurar o MBR, recorrendo a um utilitário como o fixmbr na consola de recuperação do Windows, caso este sistema operativo esteja instalado.
“Estes rootkits podem igualmente afectar outras plataformas, tais como Linux, uma vez que a sua acção é independente do sistema operativo instalado no computador”, acrescenta Rui Lopes.
Quando um destes novos rootkits é executado num sistema, efectua uma cópia do MBR existente, modificando o original com instruções maliciosas, o que significa que em caso de uma tentativa de acesso ao MBR, o rootkit irá redireccionar para o genuíno, impedindo que os utilizadores ou aplicações suspeitem de algo.
As modificações realizadas significam que quando um utilizador inicia o computador, o MBR manipulado é executado antes do sistema operativo ser carregado. Nesse momento, o rootkit executa o que resta do seu código, ocultando-se assim completamente, bem como a qualquer código malicioso associado.
Até agora, os rootkits eram utilizados para ocultar extensões ou processos, mas estes novos exemplos podem enganar directamente os sistemas. A sua localização garante que os utilizadores não se apercebem de qualquer anomalia nos processos do sistema, já que o rootkit carregado em memória monitoriza todo o acesso ao disco para tornar invisível qualquer malware associado ao sistema.
Os utilizadores devem tomar precauções contra este novo tipo de ameaça, nomeadamente não executar qualquer ficheiro de origem desconhecida.
Para remover o código malicioso, os utilizadores infectados deverão iniciar os seus computadores, utilizando um CD de arranque de forma a não executar o MBR. Deverão então restaurar o MBR, recorrendo a um utilitário como o fixmbr na consola de recuperação do Windows, caso este sistema operativo esteja instalado.
“Estes rootkits podem igualmente afectar outras plataformas, tais como Linux, uma vez que a sua acção é independente do sistema operativo instalado no computador”, acrescenta Rui Lopes.
Publicidade :
{mosgoogle}
{mosgoogle}
