Dit jaar zijn er evenveel nieuwe Windows-rootkits verschenen die de Master Boot Record (MBR) van de harde schijf aanpassen, als de afgelopen drie jaar bij elkaar opgeteld, wat mogelijk op een heuse "rootkit-explosie" kan duiden. Dat beweert anti-virusbedrijf Symantec. De MBR is een gedeelte van de harde schijf dat de computer gebruikt om op te starten.

Het is één van de eerste dingen die de computer leest na te zijn ingeschakeld, nog voor het besturingssysteem zelf. Het infecteren van de MBR biedt cybercriminelen meer mogelijkheden en controle over de computer. "Het doel van een boot-time infectie is de malware op de computer te laden voordat het besturingssysteem start. Wat als eerste geladen wordt, deelt de lakens uit", zegt analist Hon Lau.

Comeback
Het ontwikkelen van MBR-rootkits vereist de nodige technische kennis en een aantal exemplaren is gebaseerd op werk van een beveiligingsonderzoeker uit 2005. Lange tijd stond de ontwikkeling van MBR-malware stil, maar de situatie lijkt te veranderen. Het aantal nieuwe MBR-rootkits is de afgelopen maanden in verhouding tot afgelopen jaren verdubbeld. Volgens Symantec zijn er nu tien MBR-rootkit-families, waarvan er vijf dit jaar zijn verschenen. "Deze statistiek duidt op een mogelijke trend voor een groeiend gebruik van 'boot time' infectie als een manier om computers te infecteren", laat Lau weten.

Hij merkt op dat, net als met andere malware infecties, voorkomen beter dan genezen is. Volgens Lau is vanuit een historisch oogpunt gezien het infecteren van de MBR geen nieuwe techniek, aangezien veel van de oude bootsector-virussen van meer dan tien jaar geleden iets soortgelijks deden. "Het verschil is dat moderne MBR-malware zoveel meer doet dan alleen het infecteren van de MBR."