Po latach MBR znowu w niebezpieczeństwie

Developerzy oprogramowania antyrootkitowego GMER poinformowali o odkryciu szkodliwego kodu, który infekuje główny sektor rozruchowy dysku twardego (MBR - master boot record) i używa rootkita by zamaskować swoją obecność. Szkodliwy kod, który wciąż nie ma własnej nazwy, bazuje na kodzie BootRoot autorstwa firmy eEye. BootRoot został zaprezentowany podczas Black Hat USA Conference 2005. eEye za jego pomocą ilustrowało sposób, w jaki może on zainfekować MBR oraz manipulować sterownikami podczas startu systemu. Szkodliwy kod może zainfekować jądro Windows NT oraz jego następców.

Z opublikowanego raportu wynika, że najpierw dochodzi do zarażenia sektora 62, następnie złośliwy kod kopiuje się do MBR i sektorów 60 i 61. Następnie do ostatnich sektorów dysku ładowany jest kod rootkita.

Po ponownym uruchomieniu komputera szkodliwy kod wykorzystuje przerwanie 13h, dzięki czemu może kontrolować dane, które są ładowane przez system. Następnie może zainfekować jądro systemu Windows i wymusić ładowanie rootkita. Ten z kolei przejmuje funkcje systemowe IRP_MJ_READ i IRP_MJ_WRITE sterownika disk.sys i przekierowuje polecenia odczytu zawartości boot sectora do kodu w sektorze 62. Próbuje też uzyskać połączenie z Internetem.

Szkodliwy kod może infekować również system Vista, jednak ma tutaj poważnie utrudnione zadanie. Nie jest w stanie działać, gdy aktywna jest funkcja User Account Control. Ponadto kod poszukujący jądra został napisany dla Windows XP, więc pod Vistą nie działa.

Źródło: ArcaBit

Realizacja: SIPLEX Studio