محققان شركت امنیتی Trusteer ویرایش جدیدی از تروجان بانكی Gozi را كشف كردهاند كه ركورد اصلی راهاندازی (MBR) سیستم را آلوده میكند.
نسخه جدید تروجان بانکی Gozi شناسایی شد
مرکز ماهر , 31 فروردين 1392 ساعت 14:15
محققان شركت امنیتی Trusteer ویرایش جدیدی از تروجان بانكی Gozi را كشف كردهاند كه ركورد اصلی راهاندازی (MBR) سیستم را آلوده میكند.
محققان شركت امنیتی Trusteer ویرایش جدیدی از تروجان بانكی Gozi را كشف كردهاند كه ركورد اصلی راهاندازی (MBR) سیستم را آلوده میكند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، MBR سكتور راهاندازی است كه در ابتدای درایو ذخیرهسازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سكتور همچنین شامل كد راهاندازی است كه پیش از آغاز كار سیستم عامل، اجرا میگردد.
بدافزارهای پیچیدهای مانند TDL4 (كه با نام Alureon یا TDSS نیز شناخته میشود) كه MBR را هدف قرار میدهند، یكی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روالهای نصب مجدد سیستم عامل را احیا نماید.
به گفته یك محقق Trusteer، اگرچه روتكیتهایی كه MBR را هدف قرار میدهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یك استثناء در این مورد، روتكیت Mebroot است.
جزء روتكیتی Gozi منتظر میماند تا IE شروع به كار كند و سپس كد خرابكار را به پردازه تزریق میكند. این كار به بدافزار اجازه میدهد در ترافیك دخالت كرده و مانند سایر تروجانهای مالی، تجاری، تزریقهای وب را به درون مرورگر انجام دهد.
این واقعیت كه یك ویرایش جدید از Gozi كشف شده است نشان میدهد كه علی رغم دستگیری تولید كنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه میدهند.
این ویرایش جدید كه توسط محققان Trusteer كشف شده است، بسیار شبیه به یك نسخه قدیمی است، به جز اینكه از یك جزء روتكیتی MBR استفاده میكند. این میتواند بدان معنا باشد كه یك روتكیت جدید در حال فروش در فرومهای مجرمان سایبری است.
با اینكه ابزارهای تخصصی برای حذف روتكیتهای MBR وجود دارند، اما بسیاری از متخصصین توصیه میكنند كه درصورت آلوده شدن به این بدافزارها، كل درایو سخت را كاملاً پاكسازی نموده و پارتیشنها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.
کد مطلب: 5259