Vírus brasileiro altera ‘boot loader’ no Windows 7 de 64 bits

A Linha Defensiva analisou um virus brasileiro que usa uma técnica especial para injetar seu código no sistema.

A técnica consiste em substituir o boot loader por um arquivo especialmente preparado para inicializar o Windows e ao mesmo tempo executar o código malicioso, dificultando a remoção e a identificação da praga.

A novidade do vírus encontrado pela Linha Defensiva é que a técnica foi adotada com sucesso no Windows 7, mesmo em 64 bits. Até agora, os vírus brasileiros só usavam essa técnica no XP.

Por algum motivo, a praga é instável no Windows XP. Nos testes da Linha Defensiva, a instalação do vírus destruiu o sistema, que ficou travado em uma tela da Ferramenta de Remoção de Software Mal-intencionado (MSRT) da Microsoft.

O vírus analisado é um Banker – praga que busca roubar senhas de bancos.  Os componentes da praga têm mais de 25 MB de tamanho. A utilização de técnicas complexas como essa dificulta a identificação e a remoção do vírus, além de dar prioridade à praga, para que ela consiga remover softwares de segurança.

Ao ligar o computador, o processador procura em determinados locais específicos um software que é capaz de iniciar o sistema operacional. Esse programa é chamado boot loader. É um arquivo que contém uma série de instruções para carregar o sistema operacional.

O trojan substitui o boot loader padrão do Windows pelo boot loader malicioso, que nada mais é do que o GRUB – um boot loader legítimo usado no Linux – especialmente modificado para executar outros arquivos maliciosos durante o carregamento do sistema operacional.

Em dezembro a Kaspersky analisou outro vírus brasileiro que substitui o ntldr, o boot loaderdo Windows XP. O vírus identificado pela Linha Defensiva também é capaz de substituir obootmgr (boot loader usado no Windows Vista e mais novos) no Windows 7, tanto em 32 como em 64 bits.

O vírus contém defeitos no código e o sistema ficou instável após a instalação da praga, reiniciando constantemente. No entanto, percebe-se o interesse dos criminosos em criar pragas compatíveis com Windows 64 bits, que é uma plataforma nativamente mais robusta e segura do que os 32 bits.