Moderne Botnetze werden nicht nur immer raffinierter und gefährlicher. Sie dienen immer häufiger und offener geschäftlichen Zwecken und bestätigen die organisierte Arbeitsteilung, die ich bislang nur aus vereinzelten Puzzleteilen abgeleitet habe. Auch als sicher geglaubte Betriebssysteme werden inzwischen befallen [ (2) und ].

Die Meldung bei , die links auszugsweise wiedergegeben wird (1), zeigt einmal mehr, wie offen sich die Cybercrime inzwischen verhält und wie unangreifbar sich ihre Akteure fühlen müssen. Sie bestätigt auch die vom Russian Business Network - RBN - bekannte Strategie, mit Partnern aus der Adware-Szene zusammen zu arbeiten, um zu Geld zu kommen. Darauf hat zuletzt McAfee in seiner Studie zum Social Engineering hingewiesen.
 

 
Mebroot ist ein Rootkit, das zur Tarnung von Malware und zur Abwehr von Antiviren-Software dient. In seiner neuesten Version dringt es so tief in den Kern von dem Windows-Betriebssystem ein, dass Antiviren-Fachleute befürchten, mit ihren Werkzeugen nicht mehr an es heran zu kommen (3).

Es nistet sich in den  Master Boot Record -  MBR - ein, also in die Startpartition der Festplatte.

Mebroot infiziert nicht nur den MBR, es klinkt sich auch in grundlegende Funktionen des Windows-Kerns ein und manipuliert sie. Versucht ein Windows-Programm, etwa ein Virenscanner, auf den MBR zuzugreifen, präsentiert Mebroot einen perfekt sauberen Master Boot Record.

Die dort gespeicherte Startroutine sollte nun eigentlich das Betriebssystem, meist Windows, starten. Mebroot jedoch manipuliert zunächst den Windows-Kern, bevor es ihn startet.
 

(1) Malware versucht sich an Partnerprogrammen, tecchannel 16.04.2009

(2) Erstmals Botnetz auf Mac-OS entdeckt, tecchannel 18.04.2009
Mac-Wurm: Bitte leiten sie mich weiter, Heise online 08.05.2009
 

 
(3) Neues Rootkit gräbt sich tief ein, tecchannel 17.04.2009