Si insedia nell' MBR del disco fisso in maniera tale che riesca ad autoavviarsi ogni volta che si accende il computer prima del caricamento del sistema operativo.

Questa la modalità operativa del Sinowal Trojan, noto anche come Mebroot, che dal 2006 è riuscito a raccogliere oltre 270 mila dati di accesso ad account di servizi bancari e circa 240 mila numeri di carte di credito e debit card. Lo afferma una ricerca della RSA, la divisione di EMC specializzata in sicurezza. Sembra che il malware sia riuscito a procurare problemi anche in Italia, anche se nel report di RSA non c’è traccia degli istituti di credito coinvolti.

Il Sinowal Trojan sfrutta le vulnerabilità dei browser e dei diversi componenti della multimedialità sul web. Come detto si insedia nel Master Boot Record e non modifica né i file né i settori della partizione su cui il sistema operativo risiede, mentre al contempo inizia a copiare il proprio codice e a inserirlo in settori e tracce non utilizzati dal disco. E dopo aver modificato le routine di basso livello di Windows, il malware diventa totalmente invisibile e può operare indisturbato. Si ricorda che benchè presente da oltre 2 anni una soluzione definitiva non è stata ancora trovata.