A técnica consiste em substituir o boot loader por um arquivo especialmente preparado para inicializar o Windows e ao mesmo tempo executar o código malicioso, dificultando a remoção e a identificação da praga.
O vírus analisado pela Linha Defensiva é um Banker – praga que busca roubar senhas de bancos. Os componentes da praga têm mais de 25 MB de tamanho. A utilização de técnicas complexas como essa dificulta a identificação e a remoção do vírus, além de dar prioridade à praga, para que ela consiga remover softwares de segurança.
Ao ligar o computador, o processador procura em determinados locais específicos um software que é capaz de iniciar o sistema operacional. Esse programa é chamado boot loader. É um arquivo que contém uma série de instruções para carregar o sistema operacional.
O trojan substitui o boot loader padrão do Windows pelo boot loader malicioso, que nada mais é do que o GRUB – um boot loader legítimo usado no Linux – especialmente modificado para executar outros arquivos maliciosos durante o carregamento do sistema operacional.
O vírus contém defeitos no código e o sistema ficou instável após a instalação da praga, reiniciando constantemente. No entanto, percebe-se o interesse dos criminosos em criar pragas compatíveis com Windows 64 bits, que é uma plataforma nativamente mais robusta e segura do que os 32 bits.
0 comentários:
Postar um comentário