Mebroot es un rootkit basado en el registro de arranque maestro que utilizan botnets como Torpig . Es un sofisticado troyano que utiliza técnicas de sigilo para ocultarse del usuario. El troyano abre una puerta trasera en el ordenador de la víctima que permite al atacante tener control total sobre el ordenador. [1]
El troyano infecta el MBR para poder iniciarse incluso antes de que se inicie el sistema operativo. Esto le permite eludir algunas salvaguardas e incrustarse profundamente en el sistema operativo . Se sabe que el troyano puede interceptar operaciones de lectura/escritura, incrustarse profundamente en los controladores de red . Esto le permite la capacidad de eludir algunos firewalls y comunicarse de forma segura, utilizando un túnel cifrado personalizado , con el servidor de comando y control. Esto permite al atacante instalar otro malware , virus u otras aplicaciones. El troyano más comúnmente roba información de la computadora de la víctima, en un intento de obtener una pequeña ganancia financiera. Mebroot está vinculado a Anserin, que es otro troyano que registra las pulsaciones de teclas y roba información bancaria. Esto proporciona más evidencia que muestra que lo más probable es que haya un motivo financiero detrás de Mebroot. [2]
El troyano intenta evitar ser detectado enganchándose en atapi.sys . [3] También se incrusta en Ntoskrnl.exe . [4] Mebroot no tiene archivos ejecutables, claves de registro ni módulos de controlador, lo que hace que sea más difícil de detectar sin un software antivirus . Además de ejecutar un software antivirus, también se puede eliminar el troyano borrando o reparando el registro de arranque maestro, el disco duro y el sistema operativo. [5]
Se han descubierto tres variantes de Mebroot. Se estima que la primera versión se compiló en noviembre de 2007. En diciembre, Mebroot comenzó a realizar descargas automáticas . A principios de 2008, llegó una segunda ola de ataques. En febrero de 2008 se descubrió una segunda variante que viene acompañada de un instalador modificado. [2] En marzo de 2008 se descubrió una tercera variante, en la que los ataques se generalizaron. Desde la tercera variante, el troyano se ha actualizado para intentar burlar al software antivirus. Se desconoce si Mebroot sigue circulando. Actualmente se sabe [ ¿cuándo? ] que Mebroot se distribuye visitando sitios web maliciosos o mediante un exploit de aplicación . [6] Se estima que más de 1500 sitios web se han visto comprometidos, principalmente en la región europea. El tráfico a sitios web infectados con Mebroot puede alcanzar de 50 000 a 100 000 visitas por día. [7]