A Symantec, empresa desenvolvedora do Norton, descobriu uma nova classe de malwares que utilizam recursos de encriptação do Windows para não serem detectados. O backdoor Tranwos usa o EFS (Encrypting File System) do Windows para que suas pastas e dados não possam ser descobertos pelas varreduras dos antivírus.
O novo malware age criando uma pasta com um nome específico, que faz com que o sistema operacional a perceba como uma pasta de dados encriptados. Quando são encriptados pelo sistema, os dados deixam de ser facilmente acessíveis por especialistas de segurança e os antivírus. A partir daí, o Tranwos pode causar danos e começar a se espalhar por uma rede, e sua técnica pode ser reproduzida em outras pragas virtuais.
A encriptação do Windows cria praticamente um salvo-conduto, um tipo de certificado de legitimidade das informações do malware aos olhos de todo o sistema. A situação pode ficar bastante complexa, a ponto de alguns técnicos da Symantec precisarem usar um sistema Linux, bootável a partir de um pen drive, para acessar os arquivos maliciosos e removê-los com segurança do sistema infectado.
Mas essa estratégia tem limitações, já que um dos arquivos centrais da praga Tranwos, o wow.dll, fica profundamente encriptado dentro do EFS da plataforma. A Symantec trabalha em uma solução que permita a captura e remoção completa do Tranwos.
A resposta para o problema é um pouco difícil, porque são necessários testes para traçar o perfil do vírus: especialistas precisam monitorar computadores infectados para saber quais são os efeitos do malware. De posse dessas informações, fica mais fácil descobrir como ele age e exatamente onde se instala. O próximo passo é trabalhar com engenharia reversa para aprender mais sobre os mecanismos de operação do malware.
Com informações de Techtudo
