segunda-feira, 29 de agosto de 2011

Vírus voltam a utilizar técnica de 1986 para infectar PCs

A técnica pode ser ainda mais velha e ter até 30 anos. O vírus Elk Cloner, programado para infectar computadores Apple II em 1982 ou 1981, usava o mesmo procedimento. Mas há muitas diferenças entre as pragas daquela época e as de hoje.

Na década de 80 e até quase o final da década de 90, infectar o MBR (Registro Mestre de Inicialização, na sigla em inglês) permitia que a praga iniciasse sua execução junto com o computador, além de poder infectar disquetes e, com isso, se disseminar de um computador para outro. Hoje, as pragas se disseminam pela internet e o único MBR infectado é dos discos rígidos – que em geral ficam dentro do computador e não podem disseminar a praga adiante.

“A vantagem de utiliza esta técnica está relacionada ao fato de que a praga se tornará ativa e carregada na memória antes do sistema operacional, podendo ter total controle sobre ele sem que um programa antivírus o detecte”, explica Fabio Assolini, da Kaspersky Lab.

Contaminando o MBR, algumas pragas avançadas como o TDL (também chamado de TDSS e Alureon) conseguem burlar as proteções do Windows em 64 bits que impedem a execução de código em modo “kernel”. Na prática, isso significa que o vírus tem um controle maior sobre o sistema, dificultando sua remoção.

Pragas não são feitas no Brasil, mas brasileiros estão em risco

Segundo o analista de vírus da Kaspersky Lab, Fabio Assolini, vírus desse tipo ainda não foram criados no Brasil, mas brasileiros podem ser infectados com pragas criadas fora do país. “Temos observado que muitos computadores no Brasil tem sido atacados pelo TDSS 4. No primeiro semestre de 2011 registramos mais de três mil tentativas de infecção da praga em diferentes computadores no Brasil”, conta o especialista.

Para eliminar o TDSS/Alureon/TDL, a Kaspersky oferece uma ferramenta gratuita chamada TDSSKiller.

Para se prevenir, o melhor é manter o sistema operacional, navegadores e plug-ins em suas versões mais recentes. Essas pragas costumam ser disseminadas por sites que exploram vulnerabilidades nesses softwares.

O que é o MBR

O “Master Boot Record” ou “Registro Mestre de Inicialização”, em uma tradução livre, é um setor especial no início de mídias como CDs, discos rígidos e disquetes. Ele contém um código que dá as primeiras instruções para o computador iniciar. Em sistemas modernos, o MBR também armazena informações sobre as partições de um disco.

O vírus se aloja no MBR para ser a primeira coisa que o computador irá executar quando for ligado, o que significa que ele tem a vantagem de “sair na frente” de todas as proteções. Depois de assumir o controle do PC, o vírus executa o MBR original para dar início ao sistema operacional.

Bootkits

As pragas de hoje são chamadas de “bootkits” – uma mistura dos termos “boot” (que significa “inicialização”, a letra b do “MBR”) e o termo “rootkit”, usado para descrever pragas digitais que buscam se esconder do usuário, dos programas de segurança e até do próprio sistema operacional.

Pesquisadores da empresa de segurança eEye apresentaram um conceito de bootkit com o “BootRoot” na conferência Black Hat em 2005. O BootRoot foi especialmente criado para burlar proteções do Windows.

Segundo a empresa de segurança F-Secure, o Brain – o já mencionado primeiro vírus para PC – teria sido também o primeiro rootkit e bootkit, porque monitorava acessos do disco e camuflava sua presença – embora de uma forma muito diferente das pragas atuais.

Isso significa que, depois de 25 anos, a maior diferença nos vírus está na motivação financeira de seus criadores. As técnicas mais avançadas voltam a ser apenas uma atualização do que um dia foi usado por vírus sem nenhum objetivo destrutivo ou financeiro -- como é o caso do Brain, que era uma praga muito interessante: o nome de seus autores está no código do vírus.

Nenhum comentário: