Mebroot

Mebroot är ett master boot record baserat rootkit som används av botnät inklusive Torpig . Det är en sofistikerad trojansk häst som använder smygtekniker för att gömma sig för användaren. Trojanen öppnar en bakdörr på offrets dator som ger angriparen fullständig kontroll över datorn.

Nyttolast

Trojanen infekterar MBR för att tillåta sig själv att starta redan innan operativsystemet startar. Detta gör att den kan kringgå vissa säkerhetsåtgärder och bädda in sig djupt i operativsystemet . Det är känt att trojanen kan fånga upp läs-/skrivoperationer, bädda in sig själv djupt i nätverksdrivrutiner . Detta gör det möjligt att kringgå vissa brandväggar och kommunicera säkert, med hjälp av en anpassad krypterad tunnel , till kommando- och kontrollservern. Detta gör att angriparen kan installera annan skadlig programvara , virus eller andra program. Trojanen stjäl oftast information från offrets dator, i ett försök för liten ekonomisk vinning. Mebroot är kopplat till Anserin, som är en annan trojan som loggar tangenttryckningar och stjäl bankinformation. Detta ger ytterligare bevis som visar att ekonomiska motiv troligen ligger bakom Mebroot.

Detektering/borttagning

Trojanen försöker undvika upptäckt genom att ansluta sig till atapi.sys . Den bäddar också in sig själv i Ntoskrnl.exe . Mebroot har inga körbara filer, inga registernycklar och inga drivrutinsmoduler, vilket gör det svårare att upptäcka utan antivirusprogram . Förutom att köra antivirusprogram, kan man också ta bort trojanen genom att torka eller reparera huvudstartposten, hårddisken och operativsystemet.

Distribution

Tre varianter av Mebroot har upptäckts. Det uppskattades att den första versionen kompilerades i november 2007. I december startade Mebroot drive-by-nedladdningar . I början av 2008 kom en andra våg av attacker. I februari 2008 upptäcktes en andra variant som åtföljs av en modifierad installatör. I mars 2008 upptäcktes en tredje variant, där attackerna blev mer utbredda. Sedan den tredje varianten har trojanen uppgraderats för att försöka överlista antivirusprogram. Det är okänt om Mebroot fortfarande är i naturen. Mebroot är för närvarande känt ^{[ när? ] att distribueras genom att} besöka skadliga webbplatser, eller genom en applikationsexploatering . Det uppskattas att över 1 500 webbplatser har äventyrats, mestadels i den europeiska regionen. Trafiken till webbplatser som är infekterade med Mebroot kan nå 50 000 till 100 000 visningar per dag.

externa länkar

• MBR Rootkit, en ny ras av skadlig programvara - F-Secure Weblog, mars 2008
• Stealth MBR rootkit av GMER, januari 2008
• Trojan.Mebroot Tekniska detaljer | Symantec
• From Gromozon to Mebroot - A Reflection on Rootkits Today at the Wayback Machine (arkiverad 26 oktober 2013)