• Rombertik: Malware Visa MBR dos Discos Rígidos

    Publicado em 03-06-2015 19:00
    0 Comentários Comentários
    No início do mês de maio, um grupo de pesquisadores de segurança da Cisco divulgou um alerta sobre as ações do malware Rombertik. Um ponto importante nesse contexto, é que se o malware detectar que está sendo analisado, ele ataca o MBR (Master Boot Record) do disco rígido, impedindo assim que o sistema operacional seja inicializado. De acordo com essa advertência feita, o malware Rombertik se espalha por e-mail disfarçado como um arquivo PDF. Este suposto documento na verdade é um arquivo SCR. Caso a pessoa tente abrir o arquivo, o malware, antes de tudo, faz um verificação sobre o local onde está sendo executado, se é em um ambiente isolado ou em uma sandbox.



    Caso a verificação aponte negativamente, a instalação do malware prosseguirá como determinado. Depois do seu processo de instalação, o malware passará a roubar senhas digitadas em navegadores da Web. Entretanto, se no processo de verificação o resultado for positivo, o malware Rombertik irá então destruir o MBR do disco rígido e substituirá os dados armazenados nas partições com bytes inválidos, o que dificultará muito processo de recuperação. Importante ressaltar que o quando isso acontece, o MBR é alterado de tal forma que o computador acaba entrando em um loop infinito. Porém, se a praga não tiver as permissões necessárias para realizar alterações no MBR, ele poderá substituir ou criptografar os arquivos armazenados. Rombertik foi identificado por se propagar através de spam e mensagens de phishing que são enviadas às suas potenciais vítimas. Os atacantes usam táticas de engenharia social para motivar os usuários a baixar, descompactar e abrir os anexos que, em última instância, resultam em comprometimento do computador do usuário.


    Saiba Mais:

    [1] Cisco Blogs http://blogs.cisco.com/security/talos/rombertik
    + Enviar Comentário