Csak külső eszközökről indulva fedezhető fel a Mebroot rootkit
[Techworld] Igen veszélyes rootkitre, eddig csak elméleti szinten létező, önmagát sikeresen elrejtő rosszindulatú alkalmazásra figyelmeztetnek az internetbiztonsági cégek, többek között az F-Secure. A rootkit a merevlemez első szektorairól, a master boot rekordról tölti be magát, még az operációs rendszer, vagy a merevlemezről indított víruskereső szoftverek előtt, ezzel később teljesen felfedezhetetlenné téve kódját és tevékenységét.
MBR
A Mebroot néven ismert rootkit a master boot rekorddal jó lóra tett, mivel az az első, ami betöltődik a merevlemezről a számítógép bekapcsolását követően. A szoftver ezt követően kiválóan rejtőzködik, nincs olyan szoftver, ami érzékelni tudná a rootkitet, maximum a számítógép viselkedéséből sejthető, hogy "valami van" a háttérben. A rootkitek mélyen rejtőznek az operációs rendszerek alatt, nem egy esetben annak kernelében, így meglehetősen nehezen észlelhetők és távolíthatók el.
Mikko Hypponen, az F-Secure kutatólaborjának vezetője szerint december óta már több alfa- és bétaváltozatot észleltek a Mebrootból, melynek mostanra valószínűleg már a "végleges" verziója is elkészülhetett. A Mebroottal fertőzött számítógéppel lényegében azt tehet a rootkit tulajdonosa, amit csak akar, távolról akár további kártevők telepítésére is rábírhatja az internetre kötött gépet, vagy egyszerűen spamek küldésére is felhasználhatja. Rootkitekkel rejtik el a billentyűleütéseket figyelő alkalmazásokat is, melyekkel azonosítók és jelszavak kerülhetnek illetéktelen kezekbe.
Még az F-Secure -- melynek nagy tapasztalata van a rootkitek felfedezésével, eltávolításával kapcsolatosan -- technológiája is csak sejteni képes, hogy egy Mebroot rootkit dolgozik a háttérben. A rosszindulatú szoftver ráadásul nem csak egyetlen állományból áll, hanem minden futó processzbe beinjektálja magát, ezzel is elfedve tevékenységét. Így a vírus- és rootkitkereső szoftverek nem képesek megkülönböztetni a normál programok akcióit a Mebroot ténykedésétől.
CD-ről indítva
A Mebroot jelenleg egyetlen módon észlelhető és írtható: a számítógépet pendrive-ról, CD-ről, vagy hálózatról indítva elkerülhető, hogy a rootkit a merevlemez első szektoraiból a memóriába töltődjön, és ott elfedje magát, illetve forrását. A Mebroothoz hasonló rootkitek eddig csak elméletben léteztek, bár 2005-ben az eEye Digital Security bemutatott egy hasonló koncepciókódot, a BootRootot.
Hypponen szerint akkoriban még azt hitték, egy ilyen kártékony kód megírása túlmutat a kártékony programokat készítők technikai felkészültségén, képességein, a jelek szerint azonban tévedtek: a Mebroothoz hasonlóan fejlett rootkitek a böngészők biztonsági résein keresztül a számítógépbe jutva, feltelepülve nagyobb veszélyt jelentenek a felhasználókra, mint eddig bármilyen hasonló kísérlet.
A rootkitekkel fertőzött számítógépekből komoly méretű zombihálózatok építhetők: a Marshal statisztikája alapján februárban a rootkitként is viselkedő Srizbi trójaival készített zombihálózatból származott az általuk elfogott spamek 39 százaléka. A Symantec szerint a Srizbi jó eséllyel az első olyan trójai, mely teljes egészében a kerneltérben fut, beleértve a spamküldést is, amit az NDIS és TCP/IP drivereken keresztül ér el.
A Srizbi ezzel minden aktivitástát képes elrejteni, így a tűzfalak sem fogják meg. Ma már teljesen megszokott dolog az is, hogy a rivális csapatok egymást támadják, így a Srizbi ennek megfelelően specifikusan kutat más rootkitek és trójaik után, hogy letörölje azokat. A trójai ezenkívül részletes statisztikákkal látja el gazdáit az irányító szervereken keresztül, hogy milyen hatásfokkal dolgozik.