شماره: IRCNE2013041823
تاريخ: 31/01/91
محققان شركت امنيتي Trusteer ويرايش جديدي از تروجان بانكي Gozi را كشف كردهاند كه ركورد اصلي راهاندازي (MBR) سيستم را آلوده ميكند.
MBR سكتور راهاندازي است كه در ابتداي درايو ذخيرهسازي قرار دارد و شامل اطلاعاتي در مورد پارتيشن بندي درايو است. اين سكتور همچنين شامل كد راهاندازي است كه پيش از آغاز كار سيستم عامل، اجرا ميگردد.
بدافزارهاي پيچيدهاي مانند TDL4 (كه با نام Alureon يا TDSS نيز شناخته ميشود) كه MBR را هدف قرار ميدهند، يكي از علل طراحي ويژگي Secure Boot در ويندوز 8 هستند. شناسايي و حذف اين بدافزار سخت است و حتي قادر است روالهاي نصب مجدد سيستم عامل را احيا نمايد.
به گفته يك محقق Trusteer، اگرچه روتكيتهايي كه MBR را هدف قرار ميدهند بسيار تأثير گذار هستند، اما در بسياري از بدافزارهاي مالي و تجاري وجود ندارند. يك استثناء در اين مورد، روتكيت Mebroot است.
جزء روتكيتي Gozi منتظر ميماند تا IE شروع به كار كند و سپس كد خرابكار را به پردازه تزريق ميكند. اين كار به بدافزار اجازه ميدهد در ترافيك دخالت كرده و مانند ساير تروجانهاي مالي- تجاري، تزريقهاي وب را به درون مرورگر انجام دهد.
اين واقعيت كه يك ويرايش جديد از Gozi كشف شده است نشان ميدهد كه علي رغم دستگيري توليد كنندگان اين بدافزار، مجرمان سايبري به استفاده از اين تهديد ادامه ميدهند.
اين ويرايش جديد كه توسط محققان Trusteer كشف شده است، بسيار شبيه به يك نسخه قديمي است، به جز اينكه از يك جزء روتكيتي MBR استفاده ميكند. اين ميتواند بدان معنا باشد كه يك روتكيت جديد در حال فروش در فرومهاي مجرمان سايبري است.
با اينكه ابزارهاي تخصصي براي حذف روتكيتهاي MBR وجود دارند، اما بسياري از متخصصين توصيه ميكنند كه درصورت آلوده شدن به اين بدافزارها، كل درايو سخت را كاملاً پاكسازي نموده و پارتيشنها را مجدداً ايجاد نماييد تا از حذف بدافزار مطمئن گرديد.
- 3