F-Secure: il rootkit che infetta il MBR crea non pochi grattacapi

Un nuovo rootkit scoperto per la prima volta nel mese di Dicembre sembra stia creando non pochi problemi ai produttori di soluzioni antivirus ed antimalware. I finlandesi di F-Secure hanno confermato i “grattacapi” che Mebroot – questo il nome del pericoloso rootkit individuato – sta causando.

“Mebroot” si insedia nel “master boot record” (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, “Mebroot” sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware.

Mikko Hypponen, chief research officer di F-Secure, conferma i problemi che “Mebroot” sta determinando e spiega che il rootkit potrebbe cominciare a diffondersi maggiormente, dopo l’individuazione – a Dicembre – di versioni “alpha” e “beta” del componente maligno.
Da F-Secure si puntualizza come la tecnologia oggi disponibile sia oggi in grado soltanto di “sospettare” la presenza di rootkit come “Mebroot” che infettano il MBR del disco fisso. Hypponen ha preferito, ovviamente, non rivelare l’approccio adottato da F-Secure in tal senso in modo tale non facilitare la vita agli sviluppatori di “Mebroot”.
“Il problema”, ha aggiunto Hypponen, “è che Mebroot non è composto da un singolo file; il rootkit inietta se stesso all’interno di altri processi in esecuzione sulla macchina mascherando le sue attività dannose”.
Nel caso dei prodotti F-Secure, comunque, Hypponen spiega che “Mebroot” è risultato essere individuabile effettuando il boot del personal computer servendosi del CD di avvio dei prodotti di sicurezza commercializzati dalla società finlandese.

La possibilità di infettare il MBR risale ai tempi di MS DOS. Oggi è stata riportata in auge dagli autori di rootkit per creare malware che possano essere scovati con estrema difficoltà.
Chi naviga sul web con una versione del browser non aggiornata ovvero vulnerabile a problemi di sicurezza sanabili mediante l’applicazione delle patch via a via rilasciate dal produttore, può rischiare di vedere il proprio sistema infettato da “Mebroot”.

Al momento Hypponen sembra non disporre di dati precisi sulla diffusione di “Mebroot”. L’iDefense Intelligence Team di VeriSign aveva parlato di 5.000 infezioni solo nel corso dei primi due attacchi, risalenti al 12 ed al 19 Dicembre scorsi.

F-Secure ha pubblicato in questa pagina un’analisi di “Mebroot”, unitamente ad alcuni link d’interesse.