Rootkit utiliza falha em MBR para ter controle total no Windows
No inicio de Dezembro de 2007, um Rootkit que se escondia na MBR foi encontrado sendo mais uma Prova de Conceito (POC). Este Rootkit aproveita uma falha na MBR para se instalar e quando conclui, tem total controle sobre o Sistema Operacional (XP, NT e Vista). Esta POC é mais um exemplo de que os autores de Rootkit estão desenvolvendo técnicas cada vez mais complexas para driblarem os Softwares Anti Rootkits.
Os passos seguidos por este tipo de Rootkit são:
- Se instala nos últimos setores da unidade de disco do usuário
- Modifica outros setores
- Modifica o setor 0 e se instala no mesmo
A partir disto, o Rootkit é executado antes mesmo do Windows ser iniciado, podendo instalar/executar qualquer tipo de código malicioso sem que o usuário e/ou Windows saiba o que esta ocorrendo e com pleno controle total.
O Software GMER's Anti Rootkit consegue localizar este novo tipo de vetor de ataque, porém, não consegue removê-lo pelo Windows. Para que seja possível sua remoção, o código do Rootkit não pode estar sendo executado, logo, a unidade de disco nào pode ser iniciada.
Fonte: Anti Rootkit Blog