Virus Popureb infecta MBR, recuperação só formatando
Uma nova variante de um Trojan que a Microsoft chama de "Popureb" invade tão profundamente o sistema que a única maneira de erradicá-la é voltar à configuração original, disse Chun Feng, engenheiro do Microsoft Malware Protection Center (MMPC), em um post no blog do grupo.
"Se o seu sistema fica infectado com o Trojan: Win32/Popureb.E, aconselhamos a corrigir a MBR (Master Boot Record) e então usar um CD de recuperação para restaurar seu sistema a um estado anterior", escreveu.
Malwares como o Popureb sobrescrevem o MBR, o primeiro setor (0) - onde o código é armazenado para iniciar o sistema operacional após a BIOS do computador fazer a checagem inicial. Por se esconder lá, o rootkit é efetivamente invisível para o sistema operacional e softwares de segurança.
De acordo com a Feng, o Popureb detecta operações de escrita destinadas à MBR e troca o comando de "gravar" pelo de "ler".
Embora a operação pareça ter tido sucesso, os novos dados não são gravados no HD. Ou seja, nada de limpeza.
Feng postou links para o conserto do MBR no XP, Vista e Windows 7.
Os rootkits são geralmente "plantados" por atacantes para esconder outros malwares, tais como Trojans bancários. Eles não são um fenômeno novo no Windows.
No início de 2010, por exemplo, a Microsoft batalhou com um rootkit chamado "Alureon" que infectou sistemas Windows XP e travou máquinas após uma atualização de segurança. Na época, o conselho da empresa foi semelhante ao que Feng está oferecendo agora para as vítimas do Popureb.
Comentários