Durante o último mês, um novo tipo de malware foi lançado com tecnologias conhecidas há anos para se esconder de antivírus. O malware, chamado de Trojan.Mebroot pela Symantec, se instala na primeira parte do HD do computador para ser lido no processo de boot e faz mudanças no núcleo do Windows para dificultar sua detecção por softwares de segurança.
Criminosos usaram o Mebroot, conhecido como rootkit MBR (setor mestre de boot do computador), desde o último mês, e já infectaram cerca de cinco mil máquinas em dois ataques diferentes. Quando instalado, o rootkit transforma a máquina num zumbi.
Segundo o grupo iDefense da Verisign, o grupo responsável pelo Mebroot já infectou mais de 250 mil máquinas com diferentes ataques de trojans. Mas o Mebroot se destaca pelo uso do MBR, primeiro setor do HD e lugar usado pelo computador para procurar as primeiras instruções de boot do sistema operacional. A iDefense também afirmou que o trojan já apresenta várias versões diferentes e algumas ainda não são detectadas por antivírus.
Softwares maliciosos que visaram o MBR eram comuns durante a era MS-DOS, mas não foram muito comuns nos últimos anos. Em 2005, pesquisadores da eEye Digital Security mostraram na conferência Black Hat que o MBR poderia ser usado em rootkits, e o Mebroot é a prova prática da afirmação.
