Rootkit-ul modifica sectorul MBR - master boot record, care este primul sector al hardului si este folosit pentru a permite PC-ului sa localizeze sistemul de operare imediat dupa pornire. In consecinta, rootkit-ul ruleaza inainte sa fie incarcat Windows-ul. Peste 5.000 de calculatoare au fost infectate in mai putin de o luna, anunta cercetatorii.

"Rootkit-urile MBR pot submina kernelul Windows inainte ca acesta sa fie incarcat, ceea ce le confera avantajul unui camuflaj aproape perfect, spre deosebire de rootkit-urile care sunt incarcate odata cu Windows", a declarat dl. Matthew Richard, director al echipei de reactie rapida iDefense, furnizor de securitate care apartine VeriSign. "Au mecanisme de camuflare care le permit sa ramana instalate chiar dupa stergerea sistemului".

Din cauza ca programul rootkit ramane inscris in MBR, majoritatea programelor antivirus nu il detecteaza. Programul antivirus Symantec il depisteaza sub numele de "Trojan.Mebroot", a declarat dl. Javier Santoyo, manager pentru tehnologii emergente la Symantec. De asemenea, aplicatiile de securitate Trend Micro il identifica sub numele de TROJ_SINOWAL.AD.

Citeste si:

Noul rootkit face parte dintr-o adevarata cursa a inarmarilor intre producatorii de solutii de securitate si dezvoltatorii de malware. "In mod clar am facut tot mai greu pentru raufacatori sa actioneze asupra sistemelor de operare. Ca raspuns, acestia incearca sa atace componente noi din calculator.

Orice versiune de Windows, inclusiv Vista, este vulnerabila la rootkit. Peste 30.000 de site-uri, majoritatea localizate in Europa, incearca sa instaleze rootkit-uri prin exploatarea vulnerabilitatilor utilizatorilor care nu au instalate ultimele update-uri Windows. Intre 12 decembrie si 7 ianuarie au fost infectate 5.000 de calculatoare. Rootkit-ul este raspandit de acelasi grup de raufacatori responsabili de distribuirea troienilor Torpig, folositi pentru sustragerea de credentiale bancare.