Malware “suicida” deleta dados do HD para não ser detectado

Por Redação | 06 de Maio de 2015 às 12h03

Especialistas em segurança da Cisco Systems descobriram nesta semana mais um malware poderoso, que tem como objetivo rastrear a navegação e tudo o que o usuário faz no PC em busca de dados confidenciais e informações como logins e senhas. Seria apenas mais um dia na vida dos experts em ameaças virtuais, não fosse o fato de que a praga da vez é capaz de não apenas evadir análises, mas também se autodestruir caso perceba que está sendo caçada, levando junto as informações no HD da vítima.

De estrutura complexa e utilizando diversas camadas de ocultamento para passar despercebida por antivírus e outros sistemas de proteção, a ameaça foi batizada de Rombertik pelos especialistas do Talos Group, uma equipe da Cisco especializada em identificar ameaças virtuais. Apesar de seu estilo arrojado, a infecção acontece de uma das maneiras mais básicas possíveis, por meio de e-mails falsos disfarçados de comunicações de bancos ou outras instituições.

Após infectar a máquina da vítima, o Rombertik começa a funcionar de maneira imperceptível. Ao ser executado, porém, duas cópias de si mesmo são colocadas no computador, sendo que apenas uma permanece rodando. O malware possui um sistema de comparação que bate o código em funcionamento com a amostra de controle e, caso sejam detectadas alterações feitas por antivírus, começa o processo de autodestruição não apenas de si mesmo, mas também da máquina em que está alojado.

Aqui, são dois caminhos possíveis. Primeiro, a ameaça tenta reescrever o Master Boot Record, sistema que controla as partições do disco rígido e dá início ao processo de inicialização da máquina. Caso não consiga fazer isso, a praga começa a danificar arquivos na pasta pessoal do usuário até que o Windows seja obrigado a reinicializar. Em ambos os casos, é iniciado um loop que impede o sistema de ser utilizado e acaba exigindo uma formatação completa da máquina, com reinstalação do OS.

Esse aspecto levou o Rombertik a ser chamado de “malware suicida”, já que, ao ver seu funcionamento interrompido de alguma maneira, prefere devastar completamente tudo o que está em volta. Na maioria dos casos, a recuperação dos dados no HD é impossível e o usuário acaba perdendo tudo que estava armazenado nele.

Quando está em funcionamento oculto, porém, ele utiliza outros métodos para se manter imperceptível, como a gravação de dados aleatórios na memória. Nesse caso, antivírus e outros softwares de segurança têm dificuldade em localizar a praga e até mesmo a análise da Cisco, feita em um ambiente fechado e controlado, foi afetada por esse movimento, já que a escrita das informações é tão rápida que ultrapassa os limites das ferramentas disponíveis.

Apesar de toda essa complexidade, a dica para se manter seguro é relativamente simples. Evite clicar em links enviados por e-mail e sempre desconfie de comunicações enviadas por quem você não conhece ou empresas que não foram solicitadas a fazer isso. Bancos e instituições financeiras dificilmente enviarão novas versões de software ou alertas de segurança por correio eletrônico, por isso desconfie caso receba algo desse tipo.

Fontes: Cisco, Ars Technica

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.