Nowa wersja złośliwego oprogramowania finansowego Gozi zawierająca MBR rootkit

Naukowcy z firmy ochroniarskiej Trusteer znaleźli nowy wariant trojana bankowego Gozi, który infekuje główny rekord rozruchowy (MBR) komputera w celu osiągnięcia trwałości.

Mistrz Boot Record (MBR) to sektor rozruchowy, który znajduje się na początku dysku pamięci masowej i zawiera informacje o sposobie partycjonowania tego dysku. Zawiera również kod startowy uruchamiany przed uruchomieniem systemu operacyjnego.

Niektórzy autorzy szkodliwego oprogramowania wykorzystali MBR, aby dać swoim szkodliwym programom pierwszeństwo przed programami antywirusowymi zainstalowanymi na komputerze.

[Czytaj dalej: usuwaj złośliwe oprogramowanie z komputera z systemem Windows]

Wyrafinowane szkodliwe oprogramowanie wykorzystujące komponenty rootkit MBR, takie jak TDL4, znane również jako Alureon lub TDSS, są jednym z powodów, dla których firma Microsoft opracowała funkcję Bezpiecznego rozruchu w systemie Windows 8. To złośliwe oprogramowanie jest trudne do wykrycia. i usunąć, a nawet przetrwać procedury ponownej instalacji systemu operacyjnego.

"Mimo że rootkity MBR są uważane za wysoce skuteczne, nie zostały zintegrowane z wieloma szkodliwymi programami finansowymi", powiedział Etay Maor, badacz Trusteer, w poście na blogu. "Jedynym wyjątkiem był rootkit Mebroot, który został użyty do wdrożenia Torpiga (aka Sinowal / Anserin)."

Infekuje Internet Explorera

Nowy składnik rootkitowy MBR Gozi czeka na uruchomienie Internet Explorera, a następnie wstrzykuje złośliwy kod do procesu. Pozwala to złośliwemu przechwytywać ruch i wykonywać iniekcje sieci w przeglądarce, tak jak większość finansowych programów trojańskich, powiedział Maor.

Odkryto, że nowy wariant Gozi pokazuje, że cyberprzestępcy nadal używają tego zagrożenia, mimo że jego główny programista i niektórzy jego wspólnicy zostali aresztowani i oskarżeni. Trojan Gozi istnieje od co najmniej pięciu lat.

Nowy wariant wykryty przez badaczy Trusteer jest bardzo podobny do starszej wersji, z wyjątkiem dodatkowego komponentu rootkit MBR, powiedział Maor. "Może to wskazywać, że nowy rootkit jest sprzedawany na forach cyberprzestępców i jest adoptowany przez autorów złośliwego oprogramowania."

Podczas gdy niektóre dedykowane narzędzia do usuwania rootkitów MBR istnieją, wielu ekspertów zaleca wycieranie całego dysku twardego i ponowne tworzenie partycji w celu zapewnienia czystego startu, jeśli komputer został zainfekowany takim zagrożeniem, Maor powiedział.

Ponieważ czyszczenie takiego złośliwego oprogramowania może wymagać zaawansowanej wiedzy technicznej, prawdopodobnie najlepiej skontaktować się z działem pomocy technicznej swojego dostawcy oprogramowania antywirusowego, aby uzyskać pomoc ekspertów.