Специалисты PandaLabs обнаружили несколько троянов с включенными в них руткитами - MBRtool.A, MBRtool.B, MBRtool.C и др. Данное ПО предназначено для замещения основной загрузочной записи (MBR) - первого или нулевого сектора жесткого диска - одной из своих записей.

Такое использование руткитов является революционным, поскольку их обнаружение становится практически невозможным. Единственной защитой является выявление руткитов до их проникновения в компьютер, с чем эффективно справляются проактивные технологии.

Использование руткитов киберпреступниками направлено на сокрытие действий вредоносных кодов, что затрудняет их обнаружение. Ранее руткиты устанавливались в системных процессах, но последние варианты, обнаруженные PandaLabs, устанавливаются в той части жесткого диска, которая запускается еще до старта операционной системы.

Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR, руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили. Таким образом, загруженный в память руткит будет отслеживать доступ к диску и скрывать от системы ассоциированное вредоносное ПО.

Для удаления вредоносного кода пользователю придется перезагрузить компьютер при помощи загрузочного CD-диска, чтобы избежать использования MBR. После этого необходимо восстановить MBR.

Новые руткиты являются кроссплатформенными, поскольку их действия не зависят от того, какая операционная система установлена на компьютере.