De acordo com informações de pesquisadores de segurança, uma nova versão do malware que causou diversos problemas para usuários do Windows em fevereiro deste ano agora definiu como alvo as versões 64 bits do sistema operacional.
“Uma nova era teve início oficialmente: a era dos rootkits x64”, disse Marco Giuliani, pesquisador da Prevx, no blog da empresa nesta semana.
Este novo rootkit, que é conhecido pelos nomes Alureon, TDL e Tidserv, é capaz de infectar PCs executando versões 64 bits do Windows. “O TDL3 pode ser considerado como o primeiro rootkit para a plataforma 64 bits”, disse Giuliani.
Tanto a Prevx como a Symantec encontraram evidências que indicam que os hackers já estão usando este rootkit ativamente.
“A infecção está se espalhando pela Web através de sites com conteúdo pornográfico e exploit kits”, disse Giuliani, complementando que o novo rootkit foi detectado pela Prevx cerca de uma semana atrás. Já a Symantec detectou o malware apenas nesta quarta-feira.
O novo rootkit consegue burlar duas importantes proteções presentes no Windows 64 bits contra esse tipo de ameaça: Kernel Mode Code Signing e Kernel Patch Protection (ou PatchGuard).
Estes dois recursos foram criados para dificultar a alteração do kernel do sistema operacional pelos malwares.
“Para conseguir burlar estes dois recursos de segurança, o rootkit injetou um código no setor mestre de inicialização (MBR) do disco rígido para poder interceptar as rotinas de inicialização do Windows e assim injetar seu driver”, disse Giuliani.
Mais detalhes estão disponíveis no blog da PrevX e no blog da Symantec.
Imagem comparando um MBR infectado pelo novo rootkit e um MBR livre da infecção
UPDATE 21:25h
Quem utiliza o MSE (Microsoft Security Essentials) ou ForeFront está imune ao rootkit: desde o dia 06/Ago essas aplicações detectam e eliminam o TDL3.
Existem duas maneiras para saber se o seu computador está infectado:
Execute Painel de Controle > Ferramentas Administrativas > Gerenciamento do Computador > Gerenciamento de discos. Ali devem aparecer todas as partições. Se nenhuma aparecer, o rootkit está presente na partição MBR:
Outra maneira é clicar com o botão da direita do mouse em Prompt de Comando > Executar como Administrador > digite DISKPART <enter> list disk <enter>. Se aparecer a mensagem que não há discos fixos, o rootkit está instalado na partição MBR:
UPDATE 29/Ago
Nós publicamos um artigo com um passo-a-passo simples mostrando como recuperar a MBR aqui
