Kaspersky Lab descobre rootkit MBR único da sua espécie e disponibiliza sistema de detecção e desinfecção
A Kaspersky Lab conseguiu desmascarar uma nova variante de um rootkit MBR, único da sua espécie.
Os peritos da Kaspersky Lab seguiram o rasto das anteriores variantes do rootkit Sinowal ao longo de todo o ano passado. Já no primeiro relatório trimestral da companhia, em 2008, fez-se menção a este novo malware, tendo sido igualmente publicado o artigo “Bootkit, o desafio de 2008” que versava sobre a propagação da nova versão do código malicioso.
No entanto, a nova variante foi uma verdadeira surpresa para os investigadores. Os analistas da Kaspersky Lab seguiram de perto a nova variante do “Sinowal” desde o passado mês de Março e perceberam que este tipo de malware, uma vez infectado o MBR (Master Boot Record) do disco rígido, é capaz de se tornar invisível no sistema. Ao contrário das versões anteriores, a nova versão Backdoor.Win32.Sinowal.b instala-se de uma forma muito mais profunda no sistema para não ser detectada. E, uma vez que sobre escreve o MBR, o código utiliza técnicas de rootkit para não ser detectado.
Esta é a primeira vez que os ciber-criminosos usam tecnologias tão avançadas nas suas criações e, por essa razão, nenhum dos antivírus existentes no momento em que apareceu a nova variante do Sinowal estava em condições de limpar os equipamentos infectados pelo Backdoor.Win32.Sinowal.b, ou sequer detectar o problema.
De acordo com os dados divulgados pelos peritos da Kaspersky Lab, o bootkit propagou-se este último mês a partir de uma série de sites maliciosos que exploram as vulnerabilidades do grupo Neosploit. Um dos métodos para penetrar no sistema é a vulnerabilidade do Adobe Acrobat Reader que permite a execução de um ficheiro PDF descarregado sem que o utilizador se aperceba.
Para verificar se o equipamento está infectado, os utilizadores dos produtos pessoais da Kaspersky Lab devem actualizar as suas bases antivírus e fazer uma análise completa ao sistema. Se o bootkit for detectado, durante o tratamento será necessário reiniciar o equipamento.
Os peritos da Kaspersky Lab recomendam, ainda, a todos os utilizadores a instalação das correcções necessárias para desactivar a vulnerabilidade do Acrobat Reader e dos browsers usados.
