Détecté par Symantec, le rootkit Mebroot remet les attaques MBR (Master Boot Record Security) au goût du jour.
L’éditeur de solutions de sécurité Symantec a détecté un nouveau rootkit plus qu’intriguant puisque celui-ci se cache dans la partie MBR (Master Boot Record Security) du disque, aussi appelée « Zone amorce », qui est le premier secteur accessible du disque dur, qui permet d’amorcer le démarrage d’un ordinateur.
La particularité de ces rootkit est de se cacher dans cette partie du disque, ce qui les rend quasi-invisible pour les antivirus, puisqu’ils sont en fait intégré dans le noyau système de l’ordinateur infecté : il est même exécuté avec le système d’exploitation.
Un rootkit malin
« Un rootkit traditionnel s’installe comme un driver, simplement quand vous installez un logiciel ou un matériel » explique Oliver Friedrichs, directeur de l’équipe de sécurité chez Symantec.
On se souviendra également de certains noms de virus qui avaient fait quelques ravages il y a déjà quelques temps, sur le même principe du MBR, à l’instar de Tequila ou encore Brain. A noter que toutes les versions de Windows sont vulnérables à cette méthode, y compris Vista.
Aujourd’hui, seul Symantec a détecté ce nouveau virus, auquel aucune solution ne semble avoir été encore apportée.