quarta-feira, 6 de maio de 2015

Novo malware Rombertik ataca MBR dos discos rígidos

Pesquisadores de segurança da Cisco divulgaram um alerta sobre o malware Rombertik. Um detalhe é que se o malware detectar que está sendo analisado, ele ataca o MBR (setor mestre de inicialização) do disco rígido e impede que o sistema operacional seja inicializado.

De acordo com o alerta da Cisco, o malware Rombertik se espalha por e-mail disfarçado como um arquivo PDF. Este suposto documento na verdade é um arquivo SCR.

Se o usuário tentar abrir o arquivo, o malware primeiro verifica se ele está sendo executado em um ambiente isolado ou Sandbox. As Sandboxes são usadas por pesquisadores de segurança para análise de malwares.

Se a verificação der resultado negativo, a instalação do malware prosseguirá como determinado. Após a instalação ele passará a roubar senhas digitadas em navegadores da Web.

Se a verificação der resultado positivo, o malware Rombertik irá então destruir o MBR do disco rígido e substituirá os dados armazenados nas partições com byes inválidos, dificultando o processo de recuperação.


O MBR é alterado de tal forma que o computador acaba entrando em um loop infinito. Caso ele não tenha as permissões necessárias para alterar o MBR, ele poderá substituir ou criptografar os arquivos armazenados.

Ilustração mostrando passo-a-passo o processo usado pelo malware para comprometer o sistema alvo
Reações:

0 comentários:

Postar um comentário