Il virus Mebroot si installa nell'MBR del disco rigido, sposta il boot manager microsoft su un'altra posizione e si sostituisce ad esso.
In questo modo si avvia prima del boot manager di windows, lancia il boot manager e patcha il kerner in memoria in modo da hookare alcune routine del kernel ed eseguire il driver rootkit all'avvio. Inoltre cerca di impedire la scrittura al settore 0 del disco rigido in modo da impedire di essere rimosso.
Quando windows è in esecuzione il virus scarica da un sito web altri trojan e virus tramite una backdoor. Il virus crea nuovo utente, HelpAssistant, che è amministratore del computer. Dentro questo utente c'è una copia di tutti i dati dell'utente principale, la copia viene fatta ad ogni avvio.
Quando il virus è attivo, tramite la backdoor la macchina viene controllata da remoto e tra i vari trojan che vengono scaricati ed installati c'è ne uno che quando ci si collega all'home banking, alla e-mail o altri servizi, in genere https, dopo la conferma dell'utente e della password spedisce una e-mail con queste informazioni tramite outlook. Inoltre all'avvio del computer vengono spedite altre informazioni via e-mail. C'è quindi un rischio molto elevato.
Il problema è che anche se i rimuovono dal disco rigido tutti i virus, al successivo riavvio, il rootkit li riscarica e si torna punto a capo.
Ci sono due soluzioni al problema.
La prima consiste nel far avviare la console di ripristino di Windows XP e da li digitare:
fixboot
fixmbr
La seconda invece è un po' più semplice perchè bisogna scaricare il removal tool della symantec ed eseguirlo sul pc infetto. Il software si chiama "Trojan.Mebroot Removal Tool" da cercare su google.
Consiglio prima di fare questi passi di collegare il disco rigido ad un'altro computer e fare da li una scansione e rimozione dei virus.
Aggiornamento del 07/12/2009:
Il tool della Symantec non funziona con le nuove versioni di Mebroot (dal 09/2009 in poi). Bisogna utilizzare la procedura dal cd di installazione di Windows.
3 commenti:
Bell'articolo devo aggiungere che putroppo una variante di questo rootkit rende inefficace anche la riscrittura del mbr tramite fixboot e fixmbr e anche il tool symantec non lo ripara l'unico modo che ho trovato per eliminarlo è stato eliminare la partizione dall'hdd
ciao massimo
Disinfettato ora (il pc di un amico), a posteriori vedo che è proprio questo rootkit.
Probabilmente effettua un exploit su server apache (sql injection) per inserirsi dal caricamento delle pagine php. Il mio amico è stato probabilmente infettato da blubanana.it
I sintomi sono:
Firefox 3.5.5 satura la ram e crassha (la 3.6 beta4, no),
Java e IE idem.
Messenger rimane trayzzato e non risponde ai comandi. Emule adunanza si avvia per una frazione di secondo e poi si chiude.
Posta un commento