Os cibercriminosos estão sempre procurando por novas formas de infectar um sistema e remover as proteções de segurança – preferencialmente de uma maneira que o usuário não perceba, até ser tarde demais. A Kaspersky Lab, empresa de segurança da internet, emitiu um alerta sobre o surgimento de novos boot loaders maliciosos, que têm a mesma intenção dos demais: remover softwares de segurança e roubar credenciais bancárias.

Esta infecção foi criada exclusivamente para sistemas operacionais que usam o arquivo NTLDR como boot loader, presente nos sistemas Windows XP, Windows Server 2003 e outros mais antigos.  Esta escolha é conivente, considerando que o XP ainda é o sistema operacional mais popular no Brasil (47% do total das máquinas).

O arquivo NTLDR (abreviatura de New Technology Loader ou Carregador da Nova Tecnologia) é um componente essencial do Windows responsável pela carga do sistema operacional (boot loader no jargão técnico). Boot loaders permitem, por exemplo, que um computador tenha dois sistemas operacionais diferentes instalados, dando a opção para que o usuário escolha na inicialização qual sistema ele deseja usar. O NTLDR está presente nas versões da família Windows NT incluindo Windows XP e Windows Server 2003. Em geral é executado a partir de uma partição primária no disco rígido. Nos sistemas Linux os boot loaders mais conhecidos são o GRUB e o LILO.

Como ocorre a infecção

A infecção começa com o download e a execução de um pequeno arquivo, oferecido através de uma mensagem de e-mail. O arquivo, detectado como Trojan-Downloader.Win32.VB.aoff será responsável por baixar dois novos arquivos para a máquina da vítima: xp-msantivirus e xp-msclean. Logo após, ele inutiliza o boot loader legítimo do Windows chamado NTLDR,  renomeando-o para ntldr.old e configurando um novo boot loader malicioso na máquina da vítima.

O boot loader malicioso criado por cibercriminosos brasileiros é uma versão modificada do GRUB e está programado para executar o arquivo menu.lst. Depois de ativo o boot loader malicioso irá configurar o arquivo menu.lst e o arquivo xp-msantivirus para serem executados durante uma reinicialização do sistema.

Depois da infecção, o Trojan força a máquina se reiniciar.

Durante a reinicialização do sistema, o boot loader malicioso executa a remoção de softwares de segurança instalados na máquina dos usuários. Entre eles estão o GBPlugin, exigido por vários bancos brasileiros em operações de internet banking. Estima-se que hoje o plugin esteja instalado em mais de 23 milhões de computadores.

Os outros arquivos removidos pelo trojan são os softwares de segurança da Microsoft: o Windows Defender e o Security Essentials.

Para justificar o longo tempo de reinicialização, o boot loader malicioso exibe algumas mensagens falsas, como supostos avisos da Ferramenta de Remoção de Software Malicioso da Microsoft:

E mensagens falsas informando que o sistema está “infectado” e que arquivos “maliciosos” estão sendo “removidos”.

Quando a reinicialização termina, a missão do boot loader malicioso está completa, então ele apaga a si mesmo e reativa o NTLDR legítimo. Porém, o trojan bancário detectado como Trojan-Downloader.Win32.Banload.bqmv ficará ativo no computador, esperando o momento oportuno para roubar as credencias bancárias da vítima.

Segundo a Kaspersky Lab, todos os trojans que compõem este ataque já são detectados e bloqueados pelos produtos da empresa. O boot loader malicioso é detectado como Trojan.Boot.Burg.a.