Framingham - Malware é executado antes mesmo do sistema operacional ser iniciado. Desde dezembro, o rootkit já infectou 5 mil PCs.
O código malicioso, utilizado para mascarar um cavalo-de-tróia que rouba números de contas bancárias, infectou 5 mil PCs desde dezembro de 2007, segundo o diretor da VeriSign, Matthew Richards. O malware é invisível ao sistema operacional e a softwares de segurança.
O rootkit é instalado por cima do controle de gravação do setor de boot (da sigla em inglês MBR - Master Boot Record), o primeiro local onde o código é armazenado para iniciar o sistema operacional depois que o BIOS (do inglês Basic Input/Output System) começa seus check-ups.
O rootkit começa a atuar em sites comprometidos e segue para a instalação do vetor de ataque. Todas as vulnerabilidades exploradas, contudo, são de 2006 - então apenas os usuários que não atualizam seus softwares estão sujeitos a um ataque.
“Enquanto um rootkit tradicional é instalado como um driver, este instala a si próprio e é executado antes mesmo que o sistema operacional seja iniciado”, explica o diretor da equipe de respostas de segurança da Symantec, Oliver Friedrichs.
O código do rootkit é tão elaborado que ele afeta somente o Windows XP. Os usuários do Vista, contudo, podem aprovar a instalação do malware ao aceitar um alerta de “controle da conta do usuário”. Com o controle do MBR, é possível ter acesso a todo o computador.
A pesquisadora da Symantec, Elia Florio, afirma que os usuários podem usar o comando “fixmbr” para remover o rootkit. Ela explica ainda que, caso o BIOS tenha o recurso de proteção de gravações Master Boot Record, é aconselhável habilitá-lo.
FONTE: IDG Now!
Leia mais:
O que são RootKits?
http://avsecurity.blogspot.com/2008/01/rootkit-se-esconde-no-boot.html
