“Estamos a assistir ao emergir de uma nova era – a dos rootkits para sistemas x64″, diz investigador, salientando que este é “o primeiro do género a aparecer”.
Uma nova versão do malware que, em Fevereiro passado, atingiu um elevado volume de computadores Windows consegue agora contornar controlos de segurança concebidos para impedir que rootkits sequestrem máquinas com a edição de 64 bits do Windows instalada. O aviso veio do investigador da Prevx, Marco Giuliani, segundo o qual “estamos a assistir ao emergir de uma nova era – a dos rootkits para sistemas x64″.
O rootkit agora actualizado, que é conhecido por vários nomes, entre os quais Alureon, TDL e Tidserv, consegue infectar PCs com Windows de 64 bits e, segundo o investigador, pode ser considerado como “o primeiro do género a aparecer”.
Tanto a Prevx como a Symantec já encontraram indícios de que os hackers estão a utilizar de forma activa o novo rootkit. “A infecção está a espalhar-se rapidamente pela Web, quer através de websites de pornografia quer através da utilização exploit kits”, conta Giuliani, segundo o qual a Prevx detectou pela primeira vez o novo rootkit há já mais de uma semana atrás. Já a detecção da Symantec data da passada quarta-feira.
No início deste ano, uma anterior versão deste rootkit causou problemas sérios depois de uma correcção de segurança da Microsoft ter provocado falhas graves em máquinas Windows de 32 bits. Poucas horas depois da emissão da actualização de segurança MS10-015, no dia 9 de Fevereiro deste ano, os utilizadores começaram a queixar-se que os seus computadores não arrancavam.
Dois dias depois, a Microsoft suspendeu a distribuição automática desta actualização e deu início a uma investigação sobre o que se passou.
A actualização MS10-015 tinha por objectivo corrigir um bug do kernel do Windows já com 17 anos, mas apenas publicamente divulgado em Janeiro deste ano pelo engenheiro de segurança da Google, Tavis Ormandy.
Mais tarde, a Microsoft concluiu que apenas os PCs já infectados com um rootkit denominado Alureon eram afectados pelos “ecrãs azuis da morte”, também conhecidos pelas siglas BSOD. A empresa não voltou a distribuir o MS10-015 até ao início de Março, altura em que lhe adicionou novo código para bloquear a instalação sempre que fosse detectada a presença na máquina de um rootkit.
Durante a onda de incidentes de BSOD, o Alureon foi capaz de infectar com sucesso computadores que tivessem apenas a versão de 32 bits do Windows instalada. Esta limitação já não se aplica hoje. Com efeito, o novo rootkit consegue ultrapassar duas importantes protecções anti-rootkit que a Microsoft introduziu no Windows de 64 bits: Kernel Mode Code Signing e Kernel Patch Protection, também conhecida por PatchGuard.
Ambos foram concebidos para tornar muito mais difícil a introdução de malware no kernel do sistema operativo.
“Para ultrapassar a Kernel Patch Protection e a verificação por assinaturas de drivers, o rootkit está a modificar o registo de arranque principal do disco rígido, para que possa interceptar as rotinas de arranque do Windows, passar a controlá-las e carregar o seu próprio driver”, descreve o investigador da Prevx. Os rootkits que sobrepõem o registo de arranque principal dos discos rígidos, onde implantam código que lhes permite sequestrar o arranque do sistema operativo sempre que a BIOS do computador faz as suas verificações iniciais, tornam-se basicamente invisíveis ao sistema operativo e ao software de segurança instalado.
“Os principais componentes do Tidserv são guardados em locais disponíveis dentro do disco rígido de uma forma encriptada. Isto faz com que seja muito mais difícil detectar e remover o rootkit depois de infectado o computador”, alertou a Symantec no seu blogue oficial na passada quinta-feira.
Quer a Prevx quer a Symantec dizem que continuam a analisar o rootkit para 64 bits, prometendo divulgar novas informações sobre o assunto assim que estiverem disponíveis.
Tags: windows
