Троян Mebroot при распространении использует старые приемы маскировки: вредоносная программа записывается в главную загрузочную запись жесткого диска - наиболее важную область на винчестере, содержащую структуру данных для запуска процесса загрузки компьютера. После изменения главной загрузочной записи Mebroot вносит модификации в ядро операционной системы Windows, затрудняющие обнаружение вредоносного кода для антивирусных программ.

Как сообщает PC World со ссылкой на результаты анализа, проведенного экспертами iDefense, троян Mebroot впервые появился в середине декабря прошлого года. Заражение компьютера происходит при посещении вредоносного веб-сайта. По имеющейся информации, на текущий момент злоумышленникам удалось инфицировать порядка пяти тысяч машин

Нужно заметить, что тактика изменения главной загрузочной записи была широко распространена среди вирусописателей во времена MS-DOS, однако в последние годы о ней подзабыли. В 2005 году на хакерской конференции Black Hat специалисты eEye Digital Security продемонстрировали пример руткита, способного прятаться в главной загрузочной записи диска. И именно код этого руткита положен в основу трояна Mebroot.

Эксперты подчеркивают, что на текущий момент не все антивирусные программы способны обнаруживать Mebroot. Поэтому пользователям рекомендуется воздержаться от посещения подозрительных веб-сайтов и не запускать файлы, полученные из ненадежных или неизвестных источников.