• Tweet

Brasil es un país en el que los usuarios de internet son atacados casi exclusivamente por los delincuentes cibernéticos que crean troyanos bancarios. Asimismo, es un país donde la mayoría de los usuarios aún ejecutan Windows XP en sus computadoras.

Este último hecho ha sido considerado y aprovechado por los criminales, dado que planearon una manera de intercambiar el gestor de arranque ntldr legítimo — encontrado en WindowsXP, Windows NT y Windows Server 2003 — por un gestor de arranque malicioso.

La infección comienza al descargar un troyano, el cual se ofrece a las víctimas a través de un vínculo en correo spam. La pieza de malware se descarga en dos archivos adicionales, y realiza el cambio antes mencionado. Así, el nuevo gestor de arranque puede llamar a esos archivos nuevos para hacer su “magia”. Por ejemplo: Remover archivos pertenecientes a una variedad de soluciones antivirus y un plug-in de seguridad usado por muchos bancos brasileños.

“Una vez que la infección está completada, el troyano fuerza al sistema a reiniciar para que los cambios ocurran”, explica un investigador en Kaspersky Lab.

Después el gestor de arranque malicioso crea la ilusión de que la tardanza al arrancar es debido a la herramienta de eliminación de software maliciosos de Microsoft, la cual encuentra archivos maliciosos y los remueve.

Créditos: Help Net Security

Al final, el gestor de arranque legítimo se activa de nuevo, mientras el malicioso se borra a sí mismo sin dejar rastro. Detrás queda un troyano bancario listo para robar información y un antivirus en muletas desarmado para detectarlo a éste y a otro malware.