Pesquisadores e especialistas em segurança chegaram à conclusão de que o Nêmesis está atingindo partes dos computadores que dificultam a detecção e a remoção. Ele se instala no processo de Boot dos PCs, fazendo com que os códigos maliciosos sejam rodados junto com o carregamento do sistema operacional — mas independente da autorização dele.
Dessa forma, este Bootkit consegue transferir arquivos, fazer capturas de tela, registrar teclas digitadas pelos usuários, modificar processos e permitir que outras atividades não autorizadas sejam rodadas no sistema. Como relatado pelo ArsTechcnica, a instalação ocorre em porções de baixo nível do disco, fazendo com que a reinstalação do SO não seja suficiente para acabar com a ameaça.
A rotina modificada
Especialistas dizem que o Nêmesis é a primeira ameaça de Boot a conseguir sequestrar rotinas a ponto de se tornar "quase invisível e persistente". Isso acontece porque ele sequestra a sequência de inicialização dos computadores, usando um instalado chamado de "BOOTRASH". Com isso, ele aplica vários passos, criando arquivos de sistema virtuais e rodando processos maliciosos sem qualquer suspeita.
Os responsáveis pelo Fire Eye afirmam que "o instalador colhe estatísticas do sistema, identificando versão e arquitetura, diferenciando também os processadores das máquinas", fazendo com que as versões corretas dos malwares sejam executadas. Aparentemente, isso afeta apenas HDs com partição VBR e com o framework Microsoft .NET 3.5 — não discos com partição GUID.
Eles também afirmam que esse tipo de ameaça demanda um novo tipo de abordagem na detecção e eliminação. Por enquanto, somente uma limpeza total dos discos tem se mostrado eficiente para fazer com que as informações maliciosas sejam excluídas.
Fontes: ArsTechnica
Comentários
Postar um comentário