Специалисты компании PandaLabs обнаружили несколько троянов с включенными в них руткитами – MBRtool.A, MBRtool.B, MBRtool.C. Такое использование руткитов является революционным, поскольку в этом случае обнаружение вредоносной программы становится практически невозможным. Единственной защитой является выявление руткитов до их проникновения в компьютер, с чем эффективно справляются проактивные технологии.
Когда один из руткитов запускается, он создает копию существующей MBR, изменяя оригинал по инструкциям злоумышленников. Это означает, что при попытке доступа к MBR руткит перенаправит запрос к подлинной записи, чтобы пользователь или приложение ничего не заподозрили. Таким образом, загруженный в память руткит будет отслеживать доступ к диску и скрывать от системы ассоциированное вредоносное ПО.
Для удаления вредоносного кода пользователю придется перезагрузить компьютер при помощи загрузочного CD-диска, чтобы избежать использования MBR. После этого необходимо восстановить MBR.