Een beruchte harde schijf rootkit gebruikt tegenwoordig de werking van een andere rootkit om systemen te infecteren. De MBR-rootkit is al verschillende jaren actief en kenmerkt zich door het infecteren van het master boot record (MBR) van de harde schijf. Onlangs troffen analisten van anti-virusbedrijf Trend Micro een variant aan die zich als de Alureon (TDSS) rootkit gedraagt. Deze rootkit deed in februari van zich spreken, omdat het na Microsoft's patchdinsdag bij besmette Windows systemen een blauw scherm veroorzaakte.

Infectie
De nieuwe Mebroot variant plaatst een bestand in de Temp directory van de gebruiker. Vervolgens voert het regsvr32 /s uit via de timeSetEvent functie. Het bestand wordt dan in de System\spool map geplaatst en via een API geladen. Dezelfde API wordt gebruikt voor het vrijgeven en verwijderen van het bestand. De laatste stap is het aanpassen van de MBR en het herstarten van het systeem via shutdown -r -f -t 0. De routine is volgens de virusbestrijder identiek aan die van de TDSS malware.

"Door de MBR aan te passen, wordt de malware automatisch na het herstarten op besmette systemen uitgevoerd. Het image bestand voert dan andere routines uit, zoals het maken van verbindingen met en versturen van informatie naar een willekeurig gegenereerde URL, zelfs als de gebruiker niet op Windows is ingelogd", zegt Kathleen Notario. Volgens haar laat het kopiëren van andere malware zien dat de makers steeds creatiever worden in het ontwikkelen van technieken om systemen te infecteren en hun routines te verbergen.