Cyberprzestępcy chętnie korzystają z rootkitów, ponieważ służą one do ukrywania aktywności innych złośliwych programów, przez co ich wykrycie staje się trudniejsze. Dotychczas rootkity były instalowane w procesach systemowych, ale eksperci z laboratorium PandaLabs wykryli ostatnio nowe typy tych szkodników.

Najnowsze rootkity, którym nadano nazwy MBRtool.A, MBRtool.B, MBRtool.C, zostały zaprojektowane w taki sposób, aby zastępowały główny rekord startowy (master boot record - MBR), czyli pierwszy sektor dysku twardego, własną, zmodyfikowaną wersją. Oznacza to, że instalowane są na tej części dysku twardego, która jest uruchamiana przed załadowaniem systemu operacyjnego. Potrafią zatem już bezpośrednio oszukiwać systemy.

Zdaniem specjalistów jest to rewolucja w zastosowaniu rootkitów, ponieważ wykrycie powiązanego z nimi złośliwego kodu staje się jeszcze trudniejsze lub praktycznie niemożliwe.

- Jedyną formą obrony jest wykrycie tych rootkitów, zanim zdążą zainfekować sektor MBR. Podobnych złośliwych kodów będzie w przyszłości coraz więcej i dlatego niezbędne staje się użycie technologii proaktywnych, które są w stanie wykrywać zagrożenia bez uprzedniej identyfikacji, czyli porównywania z bazą sygnatur - wyjaśnia Piotr Walas, dyrektor techniczny Panda Security w Polsce.

Jak wyjaśniają specjaliści lokalizacja nowych rootkitów gwarantuje, że użytkownik komputera nie zauważy żadnych nieprawidłowości w procesach systemowych. Natomiast rootkit załadowany do pamięci będzie stale monitorował dostęp do dysku i sprawiał, że wszelkie złośliwe oprogramowanie pozostanie niewidoczne dla systemu.

Uruchomienie jednego ze wspomnianych rootkitów w systemie spowoduje wykonanie przez niego kopii aktualnego MBR, modyfikując oryginał za pomocą szkodliwych instrukcji. Po infekcji, w przypadku próby uzyskania dostępu do głównego rekordu startowego, rootkit dokona przekierowania na pierwotną wersję, uniemożliwiając użytkownikom lub aplikacjom znalezienie jakichkolwiek podejrzanych elementów.

Przeprowadzone przez rootkity modyfikacje sprawią, że po włączeniu komputera uruchamiany jest zafałszowany MBR, zanim załadowany zostanie system operacyjny. Następnie rootkit uruchamia pozostałą część własnego kodu, ukrywając tym samym swoją obecność, a także wszelkie powiązane ze sobą złośliwe kody.

Jak się uchronić przed najnowszymi rootkitami?

Najnowsze zagrożenia są wprawdzie bardzo trudne do wykrycia, ale zdaniem specjalistów istnieją sposoby, by się przed nimi uchronić. Przede wszystkim nie należy uruchamiać żadnych plików nieznanego pochodzenia.

Jeśli jednak zdarzy się, że komputer zostanie zainfekowany rootkitami nowego typu, w celu ich usunięcia należy uruchomić komputer za pomocą startowej płyty CD, aby uniknąć uruchomienia MBR. Następnie trzeba przywrócić prawidłowy MBR, korzystając z narzędzia typu fixmbr, dostępnego w konsoli przywracania Windows, o ile zainstalowano ten system operacyjny.

- Rootkity mogą być groźne także dla innych platform np. Linux, ponieważ ich działanie jest niezależne od systemu operacyjnego zainstalowanego na komputerze - ostrzega Piotr Walas z Panda Security.