Rootkity trafiły do MBR

19 stycznia 2008 0 przez Michał Tomaszkiewicz

Laboratorium PandaLabs wykryło trojany, które zawierają rootkity MBRtool.A, MBRtool.B, MBRtool.C.

Rootkity te zostały zaprojektowane w taki sposób, aby zastępowały główny rekord startowy (master boot record – MBR), czyli pierwszy sektor dysku twardego, własną, zmodyfikowaną wersją. Specjaliści z PandaLabs podkreślają, że to rewolucja w zastosowaniu rootkitów, ponieważ wykrycie powiązanego z nimi złośliwego kodu staje się jeszcze trudniejsze lub praktycznie niemożliwe.

Dotąd rootkity były więc stosowane do ukrywania rozszerzeń lub procesów, a teraz potrafią bezpośrednio oszukiwać systemy. Ich lokalizacja gwarantuje, że użytkownik komputera nie zauważy żadnych nieprawidłowości w procesach systemowych, a rootkit załadowany do pamięci będzie stale monitorował dostęp do dysku i sprawiał, że wszelkie złośliwe oprogramowanie pozostanie niewidoczne dla systemu.

Jeżeli więc taki rootkit zostanie uruchomiony w systemie, wykona on kopię aktualnego MBR, modyfikując oryginał za pomocą szkodliwych instrukcji. To oznacza, że w przypadku próby uzyskania dostępu do głównego rekordu startowego, rootkit dokona przekierowania na pierwotną wersję, uniemożliwiając użytkownikom lub aplikacjom znalezienie jakichkolwiek podejrzanych elementów.

Tymczasem przeprowadzone przez rootkity modyfikacje sprawią, że po włączeniu komputera uruchamiany jest zafałszowany MBR, zanim załadowany zostanie system operacyjny. Następnie rootkit uruchamia pozostałą część własnego kodu, ukrywając tym samym swoją obecność, a także wszelkie powiązane ze sobą złośliwe kody.