גרסה חדשה של חבילות תוכנה זדונית פיננסיות של Gozi MBR rootkit

חוקרים של חברת האבטחה Trusteer מצאו גרסה חדשה של התוכנית הבנקאית Gozi הבנקאות כי מדביק את המחשב שיא אתחול ראשי (MBR) על מנת להשיג התמדה. Boot Record (MBR) הוא מגזר אתחול המתגורר בתחילת כונן אחסון ומכיל מידע על אופן חלוקת הכונן. זה כולל גם את קוד האתחול שפועל לפני הפעלת מערכת ההפעלה.

כמה מחברי תוכנות זדוניות מינו את ה- MBR כדי לתת לתוכניות הזדוניות שלהם יתרון ראשוני על תוכניות האנטי-וירוס המותקנות במחשב.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

תוכנות זדוניות מתוחכמות המשתמשות ברכיבים של rootkit של MBR, כמו TDL4, הידוע גם בשם Alureon או TDSS, הן חלק מהסיבה לכך ש- Microsoft בנו את התכונה 'אתחול מאובטח' ל- Windows 8. תוכנה זדונית זו קשה לזהות ולהסיר ואף יכול לשרוד נהלי התקנה מחדש של מערכת ההפעלה. "למרות ש- MBR rootkits נחשבים יעילים, הם לא שולבו בהרבה תוכנות זדוניות פיננסיות", אמר אתמול (יום ה ') החוקר אטי מאור. "חריג אחד היה rootkit Mebroot ששימש לפריסת Torpig (הידוע גם בשם Sinowal / Anserin)."

מדביק את Internet Explorer

הרכיב החדש של Gozi MBR rootkit ממתין ל- Internet Explorer שיופעל ולאחר מכן יזריק קוד זדוני לתהליך. זה מאפשר לתוכנות זדוניות ליירט את התנועה ולבצע זריקות אינטרנט בתוך הדפדפן כמו רוב התוכניות הטרוג'אניות הפיננסיות לעשות, אמר מאור.

העובדה כי גרסה חדשה של גוזי התגלה מראה כי פושעי אינטרנט ממשיכים להשתמש באיום זה למרות היזם הראשי וחלק מעוזריו נעצרו והוגש נגדם כתב אישום. הסוס הטרויאני של גוזי נמצא בסביבה כבר חמש שנים לפחות.

הגרסה החדשה שזוהתה על ידי חוקרי ה- Trusteer דומה מאוד לגרסה ישנה יותר, למעט רכיב ה- root נוסף של ה- MBR, אמר מאור. "זה עשוי להצביע על כך ש- rootkit חדש נמכר בפורומים של cybercriminals ומאומץ על ידי מחברים זדוניים."

בעוד כמה כלים ייעודיים להסרת rootkits MBR קיימים, מומחים רבים ממליצים לנגב את הכונן הקשיח כולו מחדש את המחיצות כדי להבטיח התחלה נקייה אם המחשב נגוע באיום כזה, אמר מאור.

מאז ניקוי כזה תוכנות זדוניות עשוי לדרוש ידע טכני מתקדם, זה כנראה הכי טוב ליצור קשר עם מחלקת התמיכה הטכנית של ספק האנטי וירוס שלך כדי קבל עזרה מומחה