Os cibercriminosos estão sempre procurando por novas formas de infectar um sistema e remover as proteções de segurança – preferencialmente de uma maneira que o usuário não perceba, até ser tarde demais. A criatividade dos criadores de vírus no Brasil não tem limite e podemos verificar isso novamente com a mais nova onda de boot loaders maliciosos.
O objetivo final não é nenhuma novidade: remover softwares de segurança e roubar credenciais bancárias. Esta infecção inédita foi criada exclusivamente para sistemas operacionais que usam o arquivo NTLDR como boot loader, presente nos sistemas Windows XP, Windows Server 2003 e outros mais antigos. Esta escolha é conivente, considerado que o XP ainda é o sistema operacional mais popular no Brasil, instalados em 47% das máquinas.
O arquivo NTLDR (abreviatura de New Technology Loader ou Carregador da Nova Tecnologia) é um componente essencial do Windows responsável pela carga do sistema operacional (boot loader no jargão técnico). Boot loaders permitem, por exemplo, que um computador tenha dois sistemas operacionais diferentes instalados, dando a opção para que o usuário escolha na inicialização qual sistema ele deseja usar. O NTLDR está presente nas versões da família Windows NT incluindo Windows XP e Windows Server 2003. Em geral é executado a partir de uma partição primária no disco rígido. Nos sistemas Linux os boot loaders mais conhecidos são o GRUB ou o LILO.
Como ocorre a infecção
A infecção começa com o download e a execução de um pequeno arquivo, oferecido através de uma mensagem de e-mail. O arquivo, detectado como Trojan-Downloader.Win32.VB.aoff será responsável por baixar dois novos arquivos para a máquina da vítima: xp-msantivirus (1.83 MB) e xp-msclean (7.4 MB). Logo após, ele inutiliza o boot loader legítimo do Windows chamado NTLDR, renomeando-o para ntldr.old e configurando um novo boot loader malicioso na máquina da vítima.
O boot loader malicioso criado por cibercriminosos brasileiros é uma versão modificada do GRUB e está programado para executar o arquivo menu.lst. Depois de ativo, o boot loader malicioso irá configurar o arquivo menu.lst e o arquivo xp-msantivirus para serem executados durante uma reinicialização do sistema. Depois da infecção, o Trojan força a máquina ser reiniciar e, durante este processo, ele executa a remoção de softwares de segurança instalados na máquina dos usuários. Entre eles estão o GBPlugin, exigido por vários bancos brasileiros em operações de internet banking. Estimasse que hoje o plugin esteja instalado em mais de 23 milhões de computadores. Os outros arquivos removidos pelo trojan são os softwares de segurança da Microsoft: o Windows Defender e o Security Essentials.
Para justificar o longo tempo de reinicialização, o boot loader malicioso exibe algumas mensagens falsas, como “Ferramenta de Remoção de Software Mal-Intencionado. Não desligue ou desconecte a máquina até a finalização deste processo” ou “Atenção> foram localizafos arquivos infectados como vírus em seu computador. Iniciando processo de remoção de vírus. Este processo pode demorar um pouco, dependendo da quantidade de arquivos infectados com vírus localidados. Aguarde sua finalização, seu computador será reiniciado automaticamente”.
Quando a reinicialização termina, a missão do boot loader malicioso está completa, então ele apaga a si mesmo e reativa o NTLDR legítimo. Porém, o trojan bancário detectado como Trojan-Downloader.Win32.Banload.bqmv ficará ativo no computador, esperando o momento oportuno para roubar as credencias bancárias da vítima.
Todos os trojans que compõem este ataque já são detectados e bloqueados por todos os produtos da Kaspersky Lab. O boot loader malicioso é detectado como Trojan.Boot.Burg.a.