Trojan.Srizbi - O Primeiro Trojan Totalmente Em Modo Kernel

Em um post no final do ano passado eu comentei o aumento exponencial do software malicioso desenvolvido para rodar em modo kernel. Estes softwares eram normalmente rootkits, que se instalavam no kernel apenas para melhor esconder outros softwares maliciosos, como trojans e spywares, rodando em modo usuário.  Estes outros componentes continuavam a rodar em modo usuário, porque é muito mais fácil espionar o navegador ou enviar spam utilizando todos os recursos já existentes em modo usuário do que recriar tudo do zero dentro do kernel.

O blog da Symantec nos conta agora a descoberta do Trojan.Srizbi, o primeiro malware que roda inteiramente em modo kernel, sem nenhum componente em modo usuário. Este é um feito técnico significativo. O trojan foi desenvolvido para enviar spam, e para isso se esconde, remove rootkits concorrentes, recebe comandos via HTTP, envia e-mail diretamente, etc. tudo isso a partir de drivers rodando dentro da pilha TCP/IP do Windows. Com isso o Trojan.Sizbi consegue bypassar inteiramente os firewalls pessoais, ferramentas de captura de tráfego e qualquer outra coisa que monitore o tráfego de rede do sistema, e fica totalmente invisível a qualquer ferramenta de detecção que dependa da existência de componentes rodando em modo usuário.

A gangue de spammers que desenvolveu o Trojan.Srizbi está também usando o Mpack para infectar as suas vítimas. Este aliás parece ser o novo patamar de tecnologia para estas gangues - as ferramentas anteriores são toscas comparadas com a qualidade do código do Mpack e do Trojan.Srizbi. Com a quantidade de dinheiro movimentada pelo cybercrime brasileiro é só uma questão de tempo até os nossos bandidos locais fazerem também o upgrade.