Pojawiła się nowa wersja bardzo groźnego rootkita Mebroot. Jest ona na tyle zmieniona i przemyślana, że wiele z narzędzi do walki ze szkodnikami będzie miała problem z jego wykryciem.

Rootkit ten zaraża MBR dysku twardego, a po uruchomieniu dołącza się do niektórych funkcji jądra systemu Windows. Następnie maskuje swoją obecność w MBR. Dzięki startowaniu z MBRu większość aplikacji, w tym programów antywirusowych, nie zauważy jego obecności. Ponadto nie zapisuje on na dysku żadnych plików. Swój kod dodaje podczas uruchamiania do procesów systemowych np svchost.

Sam robak pozwala na całkowite przejęcie kontroli nad komputerem i uzyskanie dostępu do przechowywanych na nim plików. Do zarażenia dochodzi poprzez odwiedzenie zainfekowanych stron WWW. Instalacja jest możliwa dzięki wykorzystywaniu luk w popularnych przeglądarkach internetowych.

Na dzień dzisiejszy nie wiadomo od kiedy Mebroot jest aktywny w sieci. Jego wykrycie było bardzo trudne i zajęło ekspertom firmy Prevx kilka dni. Wiadomo jest tylko, że celem autora jest na dzień dzisiejszy zarażenie jak największej liczby komputerów.

Źródło: http://www.securitystandard.pl/