Praga é instável e faz Windows pedir para ser reiniciado constantemente. (Foto: Reprodução)

A Linha Defensiva analisou um virus brasileiro que usa uma técnica especial para injetar seu código no sistema.

A técnica consiste em substituir o boot loader por um arquivo especialmente preparado para inicializar o Windows e ao mesmo tempo executar o código malicioso, dificultando a remoção e a identificação da praga.

A novidade do vírus encontrado pela Linha Defensiva é que a técnica foi adotada com sucesso no Windows 7, mesmo em 64 bits. Até agora, os vírus brasileiros só usavam essa técnica no XP.

Por algum motivo, a praga é instável no Windows XP. Nos testes da Linha Defensiva, a instalação do vírus destruiu o sistema, que ficou travado em uma tela da Ferramenta de Remoção de Software Mal-intencionado (MSRT) da Microsoft.

O vírus analisado é um Banker – praga que busca roubar senhas de bancos.  Os componentes da praga têm mais de 25 MB de tamanho. A utilização de técnicas complexas como essa dificulta a identificação e a remoção do vírus, além de dar prioridade à praga, para que ela consiga remover softwares de segurança.

Entenda como funciona

Ao ligar o computador, o processador procura em determinados locais específicos um software que é capaz de iniciar o sistema operacional. Esse programa é chamado boot loader. É um arquivo que contém uma série de instruções para carregar o sistema operacional.

O trojan substitui o boot loader padrão do Windows pelo boot loader malicioso, que nada mais é do que o GRUB – um boot loader legítimo usado no Linux – especialmente modificado para executar outros arquivos maliciosos durante o carregamento do sistema operacional.

Em dezembro a Kaspersky analisou outro vírus brasileiro que substitui o ntldr, o boot loader do Windows XP. O vírus identificado pela Linha Defensiva também é capaz de substituir o bootmgr (boot loader usado no Windows Vista e mais novos) no Windows 7, tanto em 32 como em 64 bits.

O vírus contém defeitos no código e o sistema ficou instável após a instalação da praga, reiniciando constantemente. No entanto, percebe-se o interesse dos criminosos em criar pragas compatíveis com Windows 64 bits, que é uma plataforma nativamente mais robusta e segura do que os 32 bits.

Detalhes técnicos

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Todos os posts Website

2 comentários

  1. LC 13/03/2012 às 00:39

    Acho que estou com esse virus, tenho windows 7 64, como faço para remover?

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.