h1

Trojan com pouco mais de 1KB instala “Rootkit”

setembro 19, 2007

Um pesquisador da Sophos comenta no blog da empresa, em um post intitulado “às vezes coisas ruins chegam em pacotes pequenos”, que tamanho definitivamente não é documento para pragas digitais. O pesquisador dá o exemplo do cavalo de tróia Small-EAJ que, tendo apenas pouco mais de 1KB, é capaz de fazer o download do rootkit Rustock.

O Troj/Small-EAJ só consegue ser tão pequeno porque baixa da Internet os demais componentes do Rustock após infectar o sistema, servindo apenas como instalador da infecção. As pragas que baixam outros códigos maliciosos pela Internet são chamadas de downloaders e elas são usadas para diminuir o tamanho do arquivo que precisa ser espalhado para instalar a infecção. “Se o autor do vírus quiser enviar sua criação via spam, o que é muito comum atualmente, ele poderia fazer isto muito mais rápido [do que outros que usam downloaders maiores], e então deixar que os computadores infectados façam a maior parte do download”, explica o pesquisador da Sophos.

Se um usuário receber um aviso de download para um arquivo tão pequeno e confirmar, ele não terá tempo de mudar de idéia, visto que o download será finalizado imediatamente. No Brasil, a maioria dos downloaders tem um tamanho de 15 a 50KB, e alguns criminosos ainda enviam a praga digital completa (800KB ou mais) no link de infecção.

O Rustock, instalado pelo Troj/Small-EAJ, é usado para que spammers consigam enviar mensagens em massa usando os computadores infectados. Ele é capaz de se esconder, fazendo com que seus arquivos não sejam mostrados pelo Windows Explorer mesmo quando o sistema está configurado para exibir arquivos ocultos. Este tipo de praga, que possui a capacidade de “sumir”, recebe a classificação de rootkit. Rootkits são pragas complexas e geralmente difíceis de serem detectadas e removidas. O Rustock foi o primeiro rootkit a empregar estas técnicas juntamente com Additional Data Streams.

Altieres Rohr – Redação Linha Defensiva

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: