Malware à moda antiga infecta PCs com Windows

virus-mbrNão se faz mais malware como antigamente.

Quem visitou o FossHub na semana passada para baixar o Classic Shell (que substitui o menu Iniciar) ou o editor de áudio Audacity está em risco de ter baixado um trojan que parece algo vindo dos anos 90.

O código malicioso foi escrito por um grupo de hackers que se autodenomina Pegglecrew. O YouTuber danooct1 explica que o programa é novo e passa em grande parte sem ser detectado por sites como o VirusTotal.

Até mesmo o instalador falso é quase idêntico em tamanho de arquivo ao original. Inicialmente, abrir a versão infectada do Audacity ou Classic Shell parece não fazer nada, mas ao reiniciar, o usuário é recebido com a seguinte mensagem:

Enquanto você reinicia, você nota que algo substituiu o seu MBR! É uma coisa triste que suas aventuras tenham terminado aqui! Direcione todo o ódio para Pegglecrew (@cultofrazer no Twitter)

A intenção do trojan não parece ser destrutiva, já que a mensagem afirma precisamente porque a máquina do usuário não está mais funcionando como esperado – e de forma semelhante a um RPG clássico baseado em texto.

Ao fazer boot com um disco de recuperação e executar um comando rápido para restaurar o MBR (registro mestre de inicialização), é possível restaurar as funções normais do sistema, de acordo com danooct1.

Vários tweets sugerem que a obra de Pegglecrew apareceu em diversas máquinas.

Eles estimam que só os downloads de Classic Shell foram responsáveis por infectar mais de 300 máquinas, mas afirmam que o trojan em si vem sendo usado por eles há meses. Felizmente, o Pegglecrew alega que seu malware tem “zero efeito além de substituir o MBR”, que pode ser facilmente revertido.

A Audacity escreveu em seu blog que o download comprometido ficou no ar por cerca de três horas, e desde então foi resolvido, embora o mesmo suposto membro do Pegglecrew afirme que “após os administradores reverterem as alterações, substituímos todos os executáveis de instalador nos servidores [do Fosshub] com o código que sobrescreve o MBR.”

O Pegglecrew anteriormente reivindicou ter invadido a conta de Ringo Starr no Twitter, e de causar tumulto no subreddit de Super Smash Bros.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Os comentários estão desativados.

%d blogueiros gostam disto: