Schrijvers van malware hebben de Master Boot Record (MBR) herontdekt als middel om de besturing van een PC over te nemen, meldt bv. Symantec. De MBR bevat de allereerste programmacode die uitgevoerd wordt wanneer de PC aangezet wordt. Wanneer een worm of virus in staat is hier informatie weg te schrijven, wordt de besmetting van de PC bij de eerstvolgende opstart volledig gemaakt. Op deze manier krijgt de aanvaller zeggenschap over de PC voordat Windows dit heeft en kan dus allerlei ongewenste fratsen uithalen.
Dit is exact wat de allereerste virussen in de 80-er jaren op DOS deden. Het grote verschil is dat de verspreiding toen niet over het netwerk ging, maar via het delen van floppies. Dat dit ook op Windows is toe te passen is in 2005 door onderzoekers van eEye aangetoond.
Het is frappant dat deze weg om een PC te besmetten nog steeds zo open en bloot mogelijk is. Het is mogelijk om vanuit een willekeurige Windows gebruiker de MBR te overschrijven. Twee gemiste kansen om te leren van het verleden.
Lex,Mag ik je eraan herinneren dat het allereerste stukje van de computer wat word gelezen niet het MBR (master Boot Record is, maar POST.Zodra de PC door de Post heen is, dan word de MBR pas gelezen.Voor de rest heb je inderdaad wel gelijk. Het is een gevaarlijk issue.
Erik,Je hebt gelijk dat de POST (Power On Self Test) nog voor de MBR uitgevoerd wordt. Die is echter vast bepaald voor de betreffende PC. De MBR is de eerste code die herschrijfbaar is, en daardoor ‘eenvoudig’ te manipuleren. Ik wilde het stukje niet te complex maken.