Un rootkit infetta il Master Boot Record

di Pasquale Miele

scritto il

Nelle ultime ore è stato individuato un nuovo malware altamente pericoloso. Si tratta di un rootkit che si nasconde nel Master Boot Record degli hard disk.

Un grosso problema, se si pensa che quel settore contiene informazioni essenziali per avviare il sistema operativo. Questa minaccia opera con le stesse tecniche dei virus più “anziani”.

Starete pensando: “si tratta di un rootkit che imita codici maligni di vecchia data, sarà facile eliminarlo!!”. Mi dispiace per voi ma non è così. Infatti è simile ai malware del passato ma con opportune modifiche, è divenuto molto più pericoloso. Uno dei maggiori rischi, sta nel fatto che questo nuovo rootkit, nel caso in cui l’antivirus richiedesse l’accesso al settore MBR, è in grado di mostrare a quest’ultimo una copia pulita del settore d’avvio.

A differenza dei comuni malware non apporta alcuna modifica all’interno di Windows o del Registro di Sistema. L’installer del rootkit genera “soltanto” un driver del kernel maligno che viene richiamato da un loader presente nel MBR.

Per gli utenti che usano Vista la minaccia è meno grave, poiché basta attivare il sistema UAC per far si che il malware non modifichi il settore di avvio.

Per rimuovere questa nuova minaccia è possibile utilizzare un software realizzato dalla software house GMER che usa una sorta di comparazione incrociata del settore di avvio. Per maggiori informazioni sul rootkit consiglio la lettura dell’articolo Stealth MBR rootkit

I Video di PMI

Video su Facebook: impariamo dai più bravi