Mebroot creeërt dummy-MBR
Gepubliceerd: Donderdag 16 april 2009
Auteur: Michiel van Blommestein
Mebroot blijft een groot gevaar op het wereldwijde web. Wederom is een nieuwe variant ontdekt van de uiterst taaie rootkit.
De nieuwe versie van de rootkit is volgens de Amerikaanse beveiligingsbedrijf Prevx aangetroffen op een paar duizend websites, en ligt daar klaar om bezoekers met een drive-by download te infecteren. De nieuwe versie past bij infectie een nieuwe manier toe om niet gedetecteerd te worden.
Mebroot waart sinds eind 2007 rond, en wordt nog regelmatig geupdate. De malware nestelt zich in de Master Boot Record (MBR) vanuit waar het de payload naar het systeem kan binnenhalen. Dergelijke technieken zijn opvallend, omdat het herinnert aan de tijden van DOS, toen de MBR nog regelmatig doelwit was van virusschrijvers.
Al snel zijn de meeste antiviruspakketten aangepast zodat ze wat beter in de MBR kijken naar problemen. De nieuwe versie van Mebroot heeft daar volgens Prevx iets op gevonden. Bij besmetting zet Mebroot zijn tanden in de kernel, en maakt het een kopie van de MBR-inhoud. Met verschillende verwijzingen in de kernel naar die kopie, lijkt het MBR bij controle intact.
Mebroot wordt in verband gebracht met Russische criminelen om banking trojans op systemen te installeren.
Bron: Techworld
