A empresa alemã G Data SecurityLabs, especializada no desenvolvimento de antivírus e outros produtos de segurança para servidores e estações de trabalho, descobriu um rootkit tão complexo que parece associado a uma operação de espionagem. Em tese esse malware está ativo desde 2011. Ele é composto de dois arquivos: um driver e um disco virtual criptografado.Entre outras descobertas, o pessoal da G Data descobriu vários trechos de texto em russo.
Coincidência? Ele consegue controlar a máquina infectada, executar comandos e evitar que suas atividades sejam detectadas pelos programas que monitoram o sistema. Pode copiar arquivos e também capturar tráfego de rede para transmissão ao seu centro de comando e controle.Como tem uma estrutura modular, pode ser facilmente ampliado e aperfeiçoado com novas funções. A parte do driver é extremamente complexa e foi projetada para ser ao mesmo tempo discreta e difícil de identificar.
A G Data está convencida de que uma equipe de especialistas foi responsável pelo desenvolvimento dessa plataforma, que se instala em sistemas Windows de 32 ou 64 bits. Ainda há vários mistérios para serem desvendados, um deles a forma de infecção. Vários detalhes (incluindo nome de arquivos e chaves de criptografia) indicam que o grupo por trás do Uroburos pode ser o mesmo que organizou em 2008 um ciberataque contra os EUA, utilizando um malware chamado Agent.BTZ. Ao contaminar a máquina, o Uroburos checa a presença do Agent.BTZ e fica inativo se ele estiver instalado.