Onderzoekers noemen het de meest geavanceerde en stiekeme malware ooit ontdekt, die zich in het bootrecord van harde schijven verstopt en bankrekeningen plundert. Toch bestaat de Mebroot rootkit al sinds 2007. F-Secure en Symantec publiceerden in oktober 2008 samen een rapport over de rootkit, dat nu pas voor het grote publiek beschikbaar is gemaakt. Duidelijk wordt dat Mebroot ondanks zijn leeftijd al de "volgende generatie" malware is en door zeer ervaren en professionele programmeurs is ontwikkeld.

Bètaversie
Zoals met alle ontwikkeltrajecten besloten ook de makers van Mebroot hun creatie te bètatesten. Via oude beveiligingslekken in Windows werden ongepatchte gebruikers voor korte tijd via drive-by downloads besmet. Er is volgens de onderzoekers bewust voor oude lekken en een korte periode gekozen, omdat dit minder zou opvallen. De onderzoekers ontdekten verder dat er in deze bètafase steeds kleine aanpassingen aan Mebroot werden doorgevoerd, wat aan de verschillende timestamps te zien was.

De betafase van de virusschrijvers werd door aandacht van de media vorig jaar januari ruw verstoord, waarop men besloot een aantal maanden stil te blijven. De ontwikkeling ging onverminderd door en in maart werd een tweede, verbeterde variant gelanceerd. Deze versie was inmiddels voorzien van allerlei technieken om detectie en verwijdering door virusscanners te voorkomen. In juni van 2008 verscheen zelfs de derde versie.

De onderzoekers merken op dat Mebroot van andere malware verschilt doordat de ontwikkelaars er zoveel aandacht aan besteden. Naast het toevoegen van nieuwe features, stealth trucs, anti anti-rootkit routines, optimaliseerde men ook de geheugencontroles om blauwe schermen in Windows te voorkomen. Hoe lang de ontwikkelaars met de ontwikkeling van Mebroot bezig zijn geweest is onbekend. Hun ideeën zijn niet origineel. Zo gebruikte ze een proof-of-concept Rootkit, BootRoot genaamd, als basis voor hun eigen creatie.

Vista immuun
Mebroot verspreidt zichzelf via drive-by downloads en arriveert op het systeem als een EXE installer van zo'n 430KB. Het weet controle over het systeem te krijgen door het Master Boot Record (MBR) te overschrijven. De aanval is mogelijk omdat het MBR nog steeds een zwakke schakel in de moderne besturingssystemen is. De eerste varianten gebruikte een standaard manier om via Windows API's MBR en raw disk sectoren te beschrijven en lezen. De versies die na februari 2008 verschenen gebruikte een complexe installatie procedure om zo HIPS (intrusion prevention) te omzeilen.

Het probleem wordt vergroot doordat sommige Windows versies, zoals Windows 2000, XP en Server 2003 het mogelijk maken om disk sectoren, waaronder het MBR, zonder beperkingen over te schrijven. Hiervoor is wel administrator toegang nodig, maar zoals bekend draaien de meeste gebruikers met deze rechten. Gebruikers van Vista hoeven zich geen zorgen te maken. Door aanpassingen van Microsoft kan de malware, mits men UAC gebruikt, de MBR niet infecteren. Heeft men UAC uitgeschakeld, dan is ook Vista's MBR te infecteren, maar vanwege de beveiliging kan de rootkit niet actief worden. Onderzoekers houden er rekening mee dat toekomstige varianten deze beperking weten te omzeilen.

Na installatie op de harde schijf injecteert de rootkit zich in het Explorer proces, waardoor de handelingen ervan niet meer opvallen, aangezien Explorer die zelf uitvoert. Mebroot infecteert de eerste 16 aangesloten disk drives, waaronder ook externe USB schijven. Aangezien die meestal niet worden gebruikt om het besturingssysteem te laden, is de infectie niet actief.

Wapenwedloop
De eerste Mebroot variant gebruikte verschillende functies om het systeem te infecteren. De gebruikte methode was echter niet waterdicht, waardoor anti-virusbedrijven een oplossing ontwikkelden. Daardoor was men in staat om de oude variant te detecteren. De virusschrijvers reverse engineerden daarop de code van de virusscanners en maakten op hun beurt weer een oplossing die de fouten van de eerste methode verhielp en extra beveiliging toevoegde om analyse en detectie door anti-virusbedrijven te bemoeilijken.

Naast de infectie van het systeem, is er ook het netwerkdeel. Namelijk de communicatie met de buitenwereld en daar staan onderzoekers nog voor een mysterie. "De netwerkcode is op tal van manieren zo geavanceerd. Het is krachtig, we kennen geen enkele firewall die de calls herkent die Mebroot op het minidriver niveau maakt, om zo pakketten naar buiten te sturen.

Aangezien al het verkeer via een private TCP/IP stack wordt verstuurd en versleuteld is, hebben de onderzoekers geen idee wat er precies gebeurt. "Het gebruikte encryptie algoritme is onbekend en beschermt het reverse engineeren van de onbegrijpelijke obfuscatielaag die zich in de rootkitcode bevindt.

Achilleshiel
De analyse van Mebroot was een groot avontuur voor de onderzoekers, die uiteindelijk nog tegen een ware "schat" aanliepen. De rootkit bevat een verwijder procedure, waar de Command & Control server opdracht toe kan geven. Aangezien het uitwisselingsprotocol tussen de client en de server zwak is, heeft men de encryptie gekraakt en zou dus het botnet kunnen kapen en zo alle clients de opdracht geven om de rootkit te verwijderen. Deze aanpak heeft juridische gevolgen, waardoor men de zwakte van het protocol alleen heeft gebruikt om het C&C-verkeer te ontcijferen en de werking van de rootkit te begrijpen.

"Mebroot is de meest stiekeme en geavanceerde malware die we ooit geanalyseerd hebben. Het werkt op de laagste niveaus van het besturingssysteem, gebruikt allerlei ongedocumenteerde trucs, functies en globale variabelen. Toch hebben we sinds de versie van februari 2008 nooit een blauw scherm gezien. Dit is duidelijk een teken van het professionaliteit van de makers. Het is ook duidelijk dat de auteurs van Mebroot het onderzoek van anderen nauwlettend volgen. Misschien maakt de volgende malware van Mebroot's maker gebruik van virtualisatie, waardoor het nog lastiger te detecteren en verwijderen is. Proof-of-concept broncode hiervoor is al beschikbaar."