# Zeroaccess > Tipo: **malware** · S0027 · [MITRE ATT&CK](https://attack.mitre.org/software/S0027) ## Descrição [[s0027-zeroaccess|Zeroaccess]] é um rootkit em modo kernel sofisticado que infecta sistemas Windows para incorporá-los à botnet ZeroAccess, uma das maiores botnets já documentadas com estimativas de mais de 1,9 milhão de sistemas infectados em seu pico (2013). O objetivo primário da botnet ZeroAccess é financeiro: hosts infectados são utilizados para operações de click fraud (fraude de publicidade digital) e mineração de Bitcoin, gerando receita massiva para os operadores. O malware foi distribuído principalmente via instaladores de software pirata, cracks e downloads maliciosos. O Zeroaccess opera em modo kernel, tornando-o extremamente difícil de remover sem ferramentas especializadas - um rootkit kernel pode subverter o próprio sistema operacional, ocultando sua presença de ferramentas de segurança que operem em modo usuário. O malware utiliza atributos NTFS alternativos para armazenar componentes maliciosos em streams de dados alternativos (ADS), uma técnica de evasão que explora funcionalidades legítimas do sistema de arquivos NTFS para esconder arquivos de inspeção padrão. A comunicação peer-to-peer da botnet torna o takedown difícil, pois não há servidor central a derrubar. A Microsoft e parceiros de segurança conduziram operações de disrupção coordenadas contra a botnet ZeroAccess em 2013, resultando em redução significativa de sua capacidade operacional. No entanto, variantes do Zeroaccess continuam sendo detectadas, especialmente em sistemas legados sem patches adequados. A arquitetura de click fraud da botnet - infectando máquinas de usuários comuns para clicar em anúncios - demonstra como botnets financeiramente motivadas podem operar de forma discreta por longos períodos, passando despercebidas pelas vítimas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1014-rootkit|T1014 - Rootkit]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] ## Detecção A detecção do Zeroaccess é especialmente desafiadora devido à operação em modo kernel. Ferramentas de análise de rootkit como GMER, RootkitRevealer ou módulos específicos de soluções EDR com drivers kernel são necessárias para detecção completa. Verificação de integridade do boot sector e MBR, análise de streams de dados alternativos (ADS) em arquivos do sistema, e monitoramento de comúnicações peer-to-peer na rede são abordagens complementares. Soluções de segurança com drivers de kernel assinados e capacidade de detecção de rootkits têm maior eficácia; soluções puramente baseadas em agente de modo usuário podem ser contornadas pelo Zeroaccess. ## Relevância LATAM/Brasil O Zeroaccess é um malware de distribuição massiva sem foco geográfico específico - qualquer usuário que baixe software pirata, cracks ou ativadores de licença é um vetor de infecção potencial. O Brasil tem altas taxas de uso de software não licenciado, especialmente no segmento de pequenas e médias empresas e usuários residenciais, tornando o Zeroaccess e rootkits similares uma ameaça persistente. Sistemas infectados pela botnet ZeroAccess são usados para fraude de publicidade, degradando performance e potencialmente expondo informações do sistema. A conscientização sobre os riscos de software pirata é um vetor educacional crítico para redução da superfície de ataque desta classe de ameaças no Brasil. ## Referências - [MITRE ATT&CK - S0027](https://attack.mitre.org/software/S0027)