A primeira versão do rootkit TDL3 capaz de funcionar em sistemas 64 bit – inclusive Vista e 7 nas edições x64 – foi encontrada. Segundo o analista de vírus Marco Giuliani, da PrevX, a praga ainda não funciona perfeitamente devido às proteções dos sistemas de 64 bits contra rootkits. Mesmo assim, o código malicioso já está sendo disseminada através de sites pornográficos e aplicativos web que exploram vulnerabilidades nos softwares mais populares, como Reader, Flash e navegadores de internet.

O TDL3, que também é conhecido como TDSS, TDSserv e Alureon, contém um código que é capaz de burlar duas barreiras de segurança implementadas a partir do Windows Vista 64 bits: a verificação das assinaturas digitais de drivers e o PatchGuard — rotina que bloqueia alterações em áreas sensíveis do núcleo do Windows. Essas rotinas de segurança tornam o Windows Vista e Windows 7 64 bits sistemas operacionais mais resistentes contra rootkits e, até agora, nenhum vírus havia sido programado para contorná-las.

Para driblar esse esquema de segurança, o rootkit insere o seu código no Master Boot Record (MBR). O MBR é uma área especial do disco que armazena um código executado no momento em que o computador é ligado. Rootkits já usam essa técnica desde 2009, mas o TDL3 é o primeiro a fazer isso com o intuito de burlar a proteção contra execução de drivers não assinados existente nos Windows Vista, 7 e 2008 de 64 bits.

Segundo o especialista da PrevX, o rootkit não consegue infectar o sistema caso o usuário esteja logado no Windows com uma conta limitada ou com o Controle de Contas de Usuário (UAC) ativado.

Em 2009, a rede maliciosa do TDL3 contava com 3 milhões de máquinas comprometidas. A metade disso estava nos Estados Unidos; no primeiro semestre de 2010 o Brasil contava com pelo menos 9 mil computadores afetados.

Máquinas infectadas fraudam anunciantes

De acordo com analistas, o TDL3 é um programa malicioso flexível e programado com alta qualidade. Ele redireciona resultados de pesquisas nas máquinas infectadas para páginas com propagandas. O rootkit é programado para abrir uma janela do navegador e emular a ação de um clique sobre a propaganda, sem depender que o usuário faça isso. Cada clique gera lucro para o site que veicula a peça publicitária, mas frauda o anunciante, que está pagando pelo clique de um robô.

O rootkit também define termos de busca que serão redirecionados. Entre as várias palavras-chaves da sua lista, pesquisas sobre o próprio rootkit ou qualquer termo relacionado a ele também serão redirecionadas para evitar que o usuário consiga buscar ajuda.

O criador da praga mantém o controle sobre as máquinas infectadas. Junto do vírus é enviado uma configuração para coletar dados da vítima, enviar para um dos seus servidores e solicitar novas instruções. O código também coleta o IP da máquina infectada e identifica qual site ou programa afiliado que instalou o rootkit no computador para que as comissões sejam pagas aos afiliados — como são chamados os parceiros dos criminosos encarregados de disseminar a praga.

Esta comissão varia conforme a localização geográfica. Segundo dados da Kaspersky, os preços variam entre US$ 250 para máquinas nos Estados Unidos, US$ 100 para a Europa, e US$ 50 nas demais regiões.

Entre as empresas que contratam os serviços do TDL3 estão também os desenvolvedores de falsos antivirus e sites pornográficos. Qualquer criminoso pode buscar os “serviços” fornecidos pelo rootkit, desde que paguem aos criadores do vírus por isso, porque a praga, em si, não está à venda.

Atualizações devem melhorar o desempenho do rootkit

Estudos de pesquisadores mostram que os autores da praga lançam versões de testes (beta). A geração anterior a que está atualmente em circulação não funcionava com o Firefox e os criminosos rapidamente desenvolveram um addon para executar esta tarefa, por exemplo. A necessidade de um addon foi dispensada na versão mais atual do rootkit, mostrando sua evolução. As primeiras amostras do TDL3 congelavam a máquina, no momento da sua instação, e o bug foi corrigido posteriormente.

O TDL3 também ficou conhecido por gerar telas azuis em computadores que instalavam atualizações do Windows, forçando a Microsoft a impedir que certas correções de segurança fossem instaladas em computadores infectados.

Segundo o analista Giuliani, esta versão com suporte a 64 bits ainda está na fase de testes e apresenta alguns erros, causando instabilidade no sistema e travamentos. O especialista acredita que isso deve ser corrigido futuramente pelos criminosos.

Textos de Shakespeare são usados para confundir analistas

Para confundir os analistas, os programadores do programa malicioso colocaram trechos de filmes como The Simpsons Movie, Fight Club e até da obra Hamlet, de Shakespeare, no código do vírus.

Pequenas partes dos diálogos dessas obras foram exibidas como uma sequência de texto ao analisar o seu arquivo de configuração.

Acredita-se que o autor ou autores da praga sejam russos e se dediquem “profissionalmente” à manutenção do código malicioso.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s