Investigadores da SonicWall descobriram um novo malware que está a tirar partido do atual surto de COVID19 para tornar os computadores inutilizáveis, substituindo o MBR (master boot record) em sistemas operativos Windows.
Infelizmente, este é apenas um dos muitos ataques realizados na tentativa de aproveitar a epidemia do COVID19 para fazer chegar malware a um maior número de vítimas.
“SonicWall Capture Labs Threat Research team recently found a new malware taking advantage of the CoViD19 pandemic which makes disks unusable by overwriting the MBR.” reads the analysis published by the experts.
Após a execução, o malware cria uma série de ficheiros auxiliares numa pasta temporária, incluindo um ficheiro BAT chamado “coronovirus Installer“, responsável pela maior do processo de infeção.
O ficheiro BAT cria uma pasta oculta chamada COVID-19 e, em seguida, move os ficheiro criados para dentro dessa diretoria.
Depois de concluído o processo de infeção, a vítima é notificada numa janela do terminal.
Este malware desativa o gestor de tarefas do Windows e o Controle de Acesso do Utilizador (UAC). Em seguida, altera a imagem de background da área de trabalho e desativa as opções que permitem ao utilizador adicionar ou modificar o fundo da área de trabalho.
O malware ganha persistência utilizando entradas no registo.
“run.exe creates a batch file named run.bat to ensure the registry modifications done by “coronavirus.bat” are kept intact besides facilitating execution of “mainWindow.exe”.” continues the analysis.
Uma vez a executar, o ficheiro MainWindow.exe apresenta uma janela apresentado a estrutura do vírus COVID19 com dois botões, “Remover vírus” e o botão “Ajuda”.
Se a vítima clicar no botão “Ajuda”, o malware informa que o computador foi infetado. Em contraste, o botão “Remover Vírus” não funciona.
Depois do sistema operativo reniciar, um binário é executado para substituir o MBR. O malware grava uma mensagem no setor 2 do disco com a mensagem “Created by Angel Castillo. Your Computer Has Been Trashed“.