Uudenlaiset mbr-rootkitit erittäin vaarallisia
1
F-Secure kertoo, että uusi Mebroot niminen rootkit-tuholainen on erittäin pitkälle kehitetty ja kenties parhaiten piiloutuva haittaohjelma, jonka yhtiö on koskaan nähnyt. Uusi tekniikka nostaa rootkitien vaarallisuuden aivan uudelle tasolle.
Rootkit-tuholaiset ovat vaarallisia koska ne piiloutuvat tehokkaasti tietokoneelle, yleensä käyttöjärjestelmän syövereihin. Siksi niitä on vaikea havaita. F-Secure kertoo, että uusi rootkit pystyy piiloutumaan paljon aiempaa paremmin.
Piiloon kiintolevyn mbr-käynnistysosiolle
Mebroot piiloutuu kiintolevyn alussa sijaitsevaan mbr- eli master boot record -kirjanpitoon. Se on ensimmäinen asia, joka tietokoneen kiintolevyltä ladataan käynnistyksen yhteydessä, joten haittaohjelma pystyy iskemään koneelle jo ennen käyttöjärjestelmää.
F-Securen mukaan Mebroot kirjoittaa omat tietonsa suoraan kiintolevyn sektoreihin, eikä tiedostojärjestelmään. Näin käyttöjärjestelmällä ei ole mitään keinoa nähdä niitä, ja haittaohjelman toiminnan havaitseminen on erittäin vaikeaa.
F-Secure kertoo, että uusimman tuholaisen testiversioita nähtiin joulu- ja tammikuussa. Mebroot on erittäin taidokkaasti tehty, ja todennäköisesti ammattilaisten käsialaa. Viikonlopun aikana sitä on nähty jo internetlevityksessä, ja haittaohjelmalla on levitetty esimerkiksi pankkitietoja varastavia tuholaisia.
