O número de vírus programados para infectar o chamado setor de inicialização de discos de armazenamento (Master Boot Record - MBR) está crescendo, segundo um relatório da fabricante de antivírus Symantec. Nos primeiros sete meses de 2011 foi encontrada a mesma quantidade de pragas com essa capacidade do que nos últimos três anos. Mas a técnica não é nova – na verdade, ela foi usada no vírus Brain, de 1986, o primeiro vírus programado para infectar computadores do tipo IBM PC.
A técnica pode ser ainda mais velha e ter até 30 anos. O vírus Elk Cloner, programado para infectar computadores Apple II em 1982 ou 1981, usava o mesmo procedimento. Mas há muitas diferenças entre as pragas daquela época e as de hoje.
Na década de 80 e até quase o final da década de 90, infectar o MBR (Registro Mestre de Inicialização, na sigla em inglês) permitia que a praga iniciasse sua execução junto com o computador, além de poder infectar disquetes e, com isso, se disseminar de um computador para outro. Hoje, as pragas se disseminam pela internet e o único MBR infectado é dos discos rígidos – que em geral ficam dentro do computador e não podem disseminar a praga adiante.
“A vantagem de utiliza esta técnica está relacionada ao fato de que a praga se tornará ativa e carregada na memória antes do sistema operacional, podendo ter total controle sobre ele sem que um programa antivírus o detecte”, explica Fabio Assolini, da Kaspersky Lab.
Contaminando o MBR, algumas pragas avançadas como o TDL (também chamado de TDSS e Alureon) conseguem burlar as proteções do Windows em 64 bits que impedem a execução de código em modo “kernel”. Na prática, isso significa que o vírus tem um controle maior sobre o sistema, dificultando sua remoção.
Para eliminar o TDSS/Alureon/TDL, a Kaspersky oferece uma ferramenta gratuita chamada TDSSKiller. Para se prevenir, o melhor é manter o sistema operacional, navegadores e plug-ins em suas versões mais recentes. Essas pragas costumam ser disseminadas por sites que exploram vulnerabilidades nesses softwares.
O que é o MBR
O “Master Boot Record” ou “Registro Mestre de Inicialização”, em uma tradução livre, é um setor especial no início de mídias como CDs, discos rígidos e disquetes. Ele contém um código que dá as primeiras instruções para o computador iniciar. Em sistemas modernos, o MBR também armazena informações sobre as partições de um disco.
O vírus se aloja no MBR para ser a primeira coisa que o computador irá executar quando for ligado, o que significa que ele tem a vantagem de “sair na frente” de todas as proteções. Depois de assumir o controle do PC, o vírus executa o MBR original para dar início ao sistema operacional.
As pragas de hoje são chamadas de “bootkits” – uma mistura dos termos “boot” (que significa “inicialização”, a letra b do “MBR”) e o termo “rootkit”, usado para descrever pragas digitais que buscam se esconder do usuário, dos programas de segurança e até do próprio sistema operacional.
Pesquisadores da empresa de segurança eEye apresentaram um conceito de bootkit com o “BootRoot” na conferência Black Hat em 2005. O BootRoot foi especialmente criado para burlar proteções do Windows.
Segundo a empresa de segurança F-Secure, o Brain – o já mencionado primeiro vírus para PC – teria sido também o primeiro rootkit e bootkit, porque monitorava acessos do disco e camuflava sua presença – embora de uma forma muito diferente das pragas atuais.
Isso significa que, depois de 25 anos, a maior diferença nos vírus está na motivação financeira de seus criadores. As técnicas mais avançadas voltam a ser apenas uma atualização do que um dia foi usado por vírus sem nenhum objetivo destrutivo ou financeiro -- como é o caso do Brain, que era uma praga muito interessante: o nome de seus autores está no código do vírus.
Fonte: G1
Editado por: Jerlandio Moreira
Nenhum comentário:
Postar um comentário