Het concept van malware die zich verschuilt in de MBR, is niet nieuw. Aanvallen op de MBR dateren al uit de tijd van MS-DOS. En de onderzoekers van eEye Digital Security presenteerden in 2005 reeds een proof-of-concept paper over een dergelijke infectiemethode.

Sinds vorige week duikt de door eEye beschreven malware 'in het wild' op, zo meldt security-blogger Brian Krebs. Met alle vervelende gevolgen van dien. "Als je de MBR kunt controleren, kun je ook het besturingssysteem controleren en dus de volledige computer", zo vat Elia Florio het gevaar samen op het Symantec Security Response Weblog.

De malware, Trojan.Mebroot genoemd, is aangetroffen op zeker 5000 Windows-pc's, zo blijkt uit een analyse van iDefense. Bijna alle geïnfecteerde systemen bevinden zich in Europa. Het lijkt erop dat de malware alleen succes heeft bij een aantal versies van Windows XP.

Matthew Richard van iDefense vermoedt dat de rootkit is ontwikkeld door een Russische malwaregroep die ook verantwoordelijk is voor de Torpig-trojan. Torpig is erop gericht bankgegevens buit te maken. Dankzij de rootkit kunnen de makers van Torpig hun trojan opnieuw installeren op het moment dat de gebruiker de software (met behulp van anti-virus software) heeft verwijderd.

Het verwijderen van de rootkit is niet eenvoudig. Krebs schrijft dat de meeste anti-virus- en anti-rootkit applicaties de malware nog niet kunnen detecteren en verwijderen. GMER zou één van de weinige anti-rootkit applicaties zijn die wel raad weet met de malware die zich in de MBR heeft verstopt. De verwachting is overigens wel dat daar op korte termijn verandering in zal komen.

Florio beschrijft op het Symantec-blog een handmatige manier om de rootkit te verwijderen. Het verwijderen van de Trojan.Mebroot kan volgens Florio alleen als het besturingssysteem niet draait.

Bron: Techworld