Vírus voltam a utilizar técnica de 1986 para infectar PCs

Modificação no setor de boot dos discos cria pragas persistentes.Técnica foi usada no Brain, primeiro vírus para PCs, em 1986.

Altieres Rohr Especial para o G1*

O número de vírus programados para infectar o chamado setor de inicialização de discos de armazenamento (Master Boot Record - MBR) está crescendo, segundo um relatório da fabricante de antivírus Symantec. Nos primeiros sete meses de 2011 foi encontrada a mesma quantidade de pragas com essa capacidade do que nos últimos três anos. Mas a técnica não é nova – na verdade, ela foi usada no vírus Brain, de 1986, o primeiro vírus programado para infectar computadores do tipo IBM PC.

Infecção do MBR era comum em disquetes para
disseminar os vírus. Hoje, técnica quer somente dificultar ação dos antivírus (Foto: Divulgação/SXC)

A técnica pode ser ainda mais velha e ter até 30 anos. O vírus Elk Cloner, programado para infectar computadores Apple II em 1982 ou 1981, usava o mesmo procedimento. Mas há muitas diferenças entre as pragas daquela época e as de hoje.Na década de 80 e até quase o final da década de 90, infectar o MBR (Registro Mestre de Inicialização, na sigla em inglês) permitia que a praga iniciasse sua execução junto com o computador, além de poder infectar disquetes e, com isso, se disseminar de um computador para outro. Hoje, as pragas se disseminam pela internet e o único MBR infectado é dos discos rígidos – que em geral ficam dentro do computador e não podem disseminar a praga adiante.“A vantagem de utiliza esta técnica está relacionada ao fato de que a praga se tornará ativa e carregada na memória antes do sistema operacional, podendo ter total controle sobre ele sem que um programa antivírus o detecte”, explica Fabio Assolini, da Kaspersky Lab.
Contaminando o MBR, algumas pragas avançadas como o TDL (também chamado de TDSS e Alureon) conseguem burlar as proteções do Windows em 64 bits que impedem a execução de código em modo “kernel”. Na prática, isso significa que o vírus tem um controle maior sobre o sistema, dificultando sua remoção.

Empresas desenvolveram software específicos
para lidar com pragas avançadas que se alojam no MBR (Foto: Reprodução/Kaspersky Lab)

Pragas não são feitas no Brasil, mas brasileiros estão em risco
Segundo o analista de vírus da Kaspersky Lab, Fabio Assolini, vírus desse tipo ainda não foram criados no Brasil, mas brasileiros podem ser infectados com pragas criadas fora do país. “Temos observado que muitos computadores no Brasil tem sido atacados pelo TDSS 4. No primeiro semestre de 2011 registramos mais de três mil tentativas de infecção da praga em diferentes computadores no Brasil”, conta o especialista.
Para eliminar o TDSS/Alureon/TDL, a Kaspersky oferece uma ferramenta gratuita chamada TDSSKiller.
Para se prevenir, o melhor é manter o sistema operacional, navegadores e plug-ins em suas versões mais recentes. Essas pragas costumam ser disseminadas por sites que exploram vulnerabilidades nesses softwares.

Na foto, computador teve 'poema geek' colocado no
MBR (Foto: Altieres Rohr/Especial para o G1)

O que é o MBRO “Master Boot Record” ou “Registro Mestre de Inicialização”, em uma tradução livre, é um setor especial no início de mídias como CDs, discos rígidos e disquetes. Ele contém um código que dá as primeiras instruções para o computador iniciar. Em sistemas modernos, o MBR também armazena informações sobre as partições de um disco.O vírus se aloja no MBR para ser a primeira coisa que o computador irá executar quando for ligado, o que significa que ele tem a vantagem de “sair na frente” de todas as proteções. Depois de assumir o controle do PC, o vírus executa o MBR original para dar início ao sistema operacional.
Bootkits
As pragas de hoje são chamadas de “bootkits” – uma mistura dos termos “boot” (que significa “inicialização”, a letra b do “MBR”) e o termo “rootkit”, usado para descrever pragas digitais que buscam se esconder do usuário, dos programas de segurança e até do próprio sistema operacional.
Pesquisadores da empresa de segurança eEye apresentaram um conceito de bootkit com o “BootRoot” na conferência Black Hat em 2005. O BootRoot foi especialmente criado para burlar proteções do Windows.
Segundo a empresa de segurança F-Secure, o Brain – o já mencionado primeiro vírus para PC – teria sido também o primeiro rootkit e bootkit, porque monitorava acessos do disco e camuflava sua presença – embora de uma forma muito diferente das pragas atuais.Isso significa que, depois de 25 anos, a maior diferença nos vírus está na motivação financeira de seus criadores. As técnicas mais avançadas voltam a ser apenas uma atualização do que um dia foi usado por vírus sem nenhum objetivo destrutivo ou financeiro -- como é o caso do Brain, que era uma praga muito interessante: o nome de seus autores está no código do vírus.

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.