Um recente malware relacionado com o COVID19 reescreve o MBR de computadores com o sistema operativo Windows instalado e torna os computadores inutilizáveis.

Investigadores da SonicWall descobriram um novo malware que está a tirar partido do atual surto de COVID19 para tornar os computadores inutilizáveis, substituindo o MBR (master boot record) em sistemas operativos Windows.

Infelizmente, este é apenas um dos muitos ataques realizados na tentativa de aproveitar a epidemia do COVID19 para fazer chegar malware a um maior número de vítimas.

“SonicWall Capture Labs Threat Research team recently found a new malware taking advantage of the CoViD19 pandemic which makes disks unusable by overwriting the MBR.” reads the analysis published by the experts.

 

Após a execução, o malware cria uma série de ficheiros auxiliares numa pasta temporária, incluindo um ficheiro BAT chamado “coronovirus Installer“, responsável pela maior do processo de infeção.

 

O ficheiro BAT cria uma pasta oculta chamada COVID-19 e, em seguida, move os ficheiro criados para dentro dessa diretoria.

Depois de concluído o processo de infeção, a vítima é notificada numa janela do terminal.

 

Este malware desativa o gestor de tarefas do Windows e o Controle de Acesso do Utilizador (UAC). Em seguida, altera a imagem de background da área de trabalho e desativa as opções que permitem ao utilizador adicionar ou modificar o fundo da área de trabalho.

O malware ganha persistência utilizando entradas no registo.

“run.exe creates a batch file named run.bat to ensure the registry modifications done by “coronavirus.bat” are kept intact besides facilitating execution of “mainWindow.exe”.” continues the analysis.

 

Uma vez a executar, o ficheiro MainWindow.exe apresenta uma janela apresentado a estrutura do vírus COVID19 com dois botões, “Remover vírus” e o botão “Ajuda”.

 

Se a vítima clicar no botão “Ajuda”, o malware informa que o computador foi infetado. Em contraste, o botão “Remover Vírus” não funciona.

Depois do sistema operativo reniciar, um binário é executado para substituir o MBR. O malware grava uma mensagem no setor 2 do disco com a mensagem “Created by Angel Castillo. Your Computer Has Been Trashed“.

 

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *