Nová varianta havěti napadající hlavní zaváděcí sektor

Před několika dny jsem narazil na novou variantu malware známého pod jmény Mebroot a Sinoval. Tento rootkit je proslulý tím, že napadá hlavní zaváděcí sektor pevného disku počítače (Master Boot Record). Mebroot na disku nevytváří žádné spustitelné soubory a nenajdeme jej tudíž ani mezi spuštěnými procesy ve Správci úloh ani mezi ovladači v jádře operačního systému.

Přítomnost Mebrootu se projevuje několika způsoby. Havěť modifikuje paměť procesu explorer.exe, zřejmě za účelem monitorování či modifikace síťové komunikace. V jádře systému běží několik skrytých vláken, která vykonávají kód nepatřící žádnému ovladači. Třetí změnou je pozměněný hlavní zaváděcí sektor. Jeho modifikaci však lze odhalit pouze speciálními nástroji, mezi které patří například program mbr.exe, který uměl (až do nynějška) hlavní zaváděcí sektor i opravit.

U nové varianty autoři vylepšili skrývání modifikace hlavního zaváděcího sektoru. Dřívější kousky pozměnily obecný ovladač disku (disk.sys), takže kdykoliv se někdo pokusil číst obsah onoho sektoru, rootkit předstíral, že MBR modifikován není. Detekce změny obsahu MBR je převážně založena také na využití služeb obecného ovladače disku. Nová varianta Mebrootu však jde níže - pravděpodobně upravuje kód ovladačů, jež ovládají ATA a SATA zařízení (tedy například atapi.sys), které v hiearchii leží pod obecným ovladačem disku.

Rootkit tedy operuje na nižší úrovni než většina obranných utilit. Antirootkity modifikaci MBR nedetekují, takže například prográmek mbr.exe, který až doposud z odstraněním Mebrootu neměl problémy, je nyní neúčinný. Stejně tak GMER ani Rootkit Unhooker nevidí žádnou modifikaci veledůležitého sektoru. Oba antirootkity však vidí skrytě běžící vlákna a modifikace síťového rozhraní procesu explorer.exe.

Co z výše uvedených informací vyplývá? Nový Mebroot je stále detekovatelný. Standardní postupy na jeho odstranění z infikovaného systému však selhávají. Příkaz fixmbr dostupný z Konzole pro zotavení je samozřejmě stále funkční, tudíž odstranit tento malware, pokud jeho přítomnost zjistíme, nepředstavuje příliš velký problém.