Rootkit z wytrychem do przeglądarki

Mebroot jest oprogramowaniem złośliwym, należącym do kategorii rootkitów (co oznacza, że procesy malware są ukrywane przed systemem operacyjnym i tym samym przed oprogramowaniem antywirusowym działającym na zainfekowanym komputerze). Atakowane są systemy z serii Windows. Do zainfekowania stacji ofiary dochodzi poprzez odwołanie do stron WWW propagujących malware i transparentne uruchomienie na komputerze wytrycha, wykorzystującego określone podatności przeglądarki internetowej.

Rootkit jest uruchamiany w pojedynczej instancji za każdym razem, kiedy zainfekowana stacja jest włączana lub przeładowywany jest jej system operacyjny. Dzieje się tak wskutek odpowiedniego wpisu do rejestru (Global\7BC8413E-DEF5-4BF6-9530-9EAD7F45338B). Mebroot odczytuje zawartość głównego sektora rozruchowego MBR (Master Boot Record), następnie skanuje tablicę partycji w poszukiwaniu aktywnej partycji rozruchowej komputera. W kolejnym kroku Mebroot infekuje strukturę MBR, kopiując jednocześnie pierwotny MBR do 62. sektora na dysku, instaluje w sektorach 60 i 61 własny kod odpowiedzialny za załadownia jądra systemu do pamięci (kernel loader) oraz sterownik rootkita (rootkit driver) na końcu aktywnej partycji rozruchowej (nadpisując 1149 sektorów dysku, co stanowi ok. 467 KB danych). Potem tworzy bibliotekę dynamiczną w katalogu, w którym rezyduje, oraz uruchamia procedury biblioteki w następujący sposób:

regsvr32 /s [nazwa_trojana].dll

Nazwa biblioteki dynamicznej Mebroota może przyjmować następującą postać: mat[liczba_losowa].dll.

Malware może spowodować natychmiastowe przeładowanie systemu operacyjnego komputera lub wygenerować na ekranie komunikat o konieczności przeładowania po rzekomej instalacji poprawek i aktualizacji:

"Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time."

Po restarcie komputera, zainfekowany MBR uruchamia kod kernel loadera, który modyfikuje jądro systemu w celu załadowania sterownika rootkita (rootkit driver).

Sterownik podłącza się do odpowiednich procedur jądra (IRP_MJ_READ i IRP_MJ_WRITE), umożliwiając tym samym iniekcję i wykonanie określonych części kodu oprogramowania złośliwego przez jądro systemu operacyjnego (czyli poza możliwością detekcji i kontrolą systemów zabezpieczeń komputera). Każda próba odwołania przez system do struktury MBR kończy się udostępnieniem pierwotnej zawartości tej struktury, zapisanej w postaci kopii zapasowej w 62 sektorze dysku rozruchowego. Kod rootkit drivera zabezpiecza także zainfekowany sektor 0 przed ewentualnym nadpisaniem czy próbami naprawy (skutkującej usunięciem kodu oprogramowania złośliwego ze struktury MBR).

Oprogramowanie złośliwe uaktywnia także tzw. tylne wejście (backdoor) do serwera sterującego (zarządzanego przez agresorów), które służy do sterowania zainfekowanym komputerem poza kontrolą systemów firewall. Połączenie, o którym mowa, działa przy wykorzystaniu protokołu HTTP i jest inicjowane przez zainfekowaną stację oraz kierowane do serwera kontrolowanego przez agresorów (na przykład dohttp://dkfhchkb.com/). Malware może również pobierać ze wspomnianych serwerów i uruchamiać na zainfekowanej stacji inne kody o charakterze destrukcyjnym.