Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 10/1/2008
En trojansk hest skjuler et rootkit-program i den del af harddisken, som pc'en booter fra. Det gør det vanskeligt at opdage og fjerne den.Den nye trussel gemmer sig i den såkaldte Master Boot Record (MBR), som indeholder det program, pc'en udfører for at loade operativsystemet. Den flytter den oprindelige MBR til et andet sted på harddisken og lægger sin egen. Det nye indhold af MBR gør, at Windows udstyres med en særlig driver, der forhindrer, at man kan se indholdet af MBR. Endvidere åbner den en bagdør på pc'en.
Truslen virker på Windows XP. Teorien bag udnyttelsen af MBR til at skjule rootkits med har været kendt siden 2005, men dette er det første eksempel på, at den bliver udnyttet i praksis. Et rootkit er et sæt værktøjer, der gør det muligt for en hacker eller et angrebsprogram at skjule sig på en computer. Typisk sker det ved, at de ændrer på systemkommandoer, så visse filer og processer ikke vises, når man kører dem.
Sikkerhedsfirmaet Symantec kalder den trojanske hest for Mebroot. De oplyser, at udviklerne har taget noget af programkoden fra demonstrationsprogrammet BootRoot, som sikkerhedsfirmaet Eeye offentliggjorde i 2005.
Hvis pc'en er ramt, kan den renses ved at køre en systemkommando, som genopbygger MBR.