Um grupo de investigadores do Talos Group da Cisco Systems descobriu recentemente um novo malware que se encontra a ser distribuído na Internet, que poderá dificultar o processo de deteção e remoção.
Segundo o grupo de investigadores, o malware, apelidado de Rombertik ,é capaz de roubar vários dados de um sistema infetado, sendo que, uma vez detetado ou quando se tente eliminar o mesmo, o conteúdo do disco rígido é automaticamente apagado. Este malware é facilmente instalado, bastando que o utilizador abra um anexo malicioso no email.
O malware é capaz de detectar cada vez que um navegador se encontra aberto, iniciando um processo em separado para obter todo o conteúdo digitado no mesmo.
Os investigadores analisaram o código do malware, tendo sido verificado que o mesmo encontra-se bastante protegido e ofuscado por código para dificultar o processo de detecção. Quando um destes códigos detecta que se encontra a ser analisado por algum software de segurança, é procedida a formatação completa do sistema.
O Rombertik é capaz de enviar uma série de comandos para sobrescrever os dados do Master Boot Record (MBR) do sistema, sendo que, uma vez realizado este processo, o sistema reinicia-se e inicia a formatação dos discos.
Da mesma forma, uma vez escritos os dados no MBR, o código é executado em loop, pelo que qualquer tentativa de interromper a formatação será inútil, tendo em conta que o processo é iniciado novamente após o reinicio.
Os dados são igualmente eliminados de forma segura, sendo que toda a informação é substituída por código nulo, dificultando ainda mais o processo de restauro dos ficheiros que tenham sido eliminados.
A concluir o estudo, o grupo de investigadores revela que, apesar de o Rombertik não ser o único malware conhecido que tenta ofuscar a atividade maliciosa, é o primeiro em que se detecta uma atividade posterior que pode levar à perda de dados.
Nenhum comentário
Seja o primeiro!