Um novo tipo de malware descoberto pela Cisco Systems possui um elevado grau de paranóia: o vírus checa constantemente para ver se foi detectado. E, se for detectado, irá formatar a trilha zero do disco rígido.
Por muito tempo esse tipo de comportamento era considerado lenda urbana. Na época de vírus como Chernobyl e I Love You, a moda era criar vírus capazes de produzir dano ao sistema operacional em larga escala. Com o passar dos anos, os hackers concluíram que criar botnets ou capturar dados dos usuários poderiam ser uma atividade mais rentável do que apenas espalhar destruição.
Batizado de Rombertik, o novo malware combina o pior dos dois mundos. Sua função primária é capturar qualquer tipo de texto inserido na janela de um navegador, funcionando como um programa espião igual a milhares de outros. Entretanto, uma de suas rotinas é verificar em tempo real se algum tipo de rastreio de antivírus foi ativado. Para evitar detecção ou logo após ser identificado, Rombertik tenta inutilizar o disco rígido.
Seu alvo principal é o Master Boot Record (MBR), a famosa “trilha zero” das mensagens alarmistas dos boatos. Mas desta vez o ataque é real. Se Rombertik conseguir afetar o MBR, será impossível o disco rígido inicializar novamente. Em caso de falha, Rombertik encripta todos os arquivos na pasta Documentos do usuário com uma chave randômica.
Esse tipo de retaliação costuma ser utilizada em vírus criados para alvos específicos. O mesmo procedimento foi adotado durante a invasão às redes da Sony no ano passado e em ataques organizados a instalações sul-coreanas no passado. Entretanto, de acordo com a Cisco, Rombertik está sendo distribuído indiscriminadamente através de spam e mensagens de phishing.
