نسخه جدید تروجان Gozi، یک روت‌کیت آلوده سازی MBR به همراه دارد

محققان شرکت امنیتی Trusteer ویرایش جدیدی از تروجان بانکی Gozi را کشف کرده‌اند که رکورد اصلی راه‌اندازی (MBR) سیستم را آلوده می‌کند.

MBR سکتور راه‌اندازی است که در ابتدای درایو ذخیره‌سازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سکتور همچنین شامل کد راه‌اندازی است که پیش از آغاز کار سیستم عامل، اجرا می‌گردد.

به گزارش ایتنا از مرکز ماهر، بدافزارهای پیچیده‌ای مانند TDL۴ (که با نام Alureon یا TDSS نیز شناخته می‌شود) که MBR را هدف قرار می‌دهند، یکی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روال‌های نصب مجدد سیستم عامل را احیا نماید.

به گفته یک محقق Trusteer، اگرچه روت‌کیت‌هایی که MBR را هدف قرار می‌دهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یک استثناء در این مورد، روت‌کیت Mebroot است.

جزء روت‌کیتی Gozi منتظر می‌ماند تا IE شروع به کار کند و سپس کد خرابکار را به پردازه تزریق می‌کند. این کار به بدافزار اجازه می‌دهد در ترافیک دخالت کرده و مانند سایر تروجان‌های مالی- تجاری، تزریق‌های وب را به درون مرورگر انجام دهد.

این واقعیت که یک ویرایش جدید از Gozi کشف شده است نشان می‌دهد که علی رغم دستگیری تولید کنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه می‌دهند.

این ویرایش جدید که توسط محققان Trusteer کشف شده است، بسیار شبیه به یک نسخه قدیمی است، به جز اینکه از یک جزء روت‌کیتی MBR استفاده می‌کند. این می‌تواند بدان معنا باشد که یک روت‌کیت جدید در حال فروش در فروم‌های مجرمان سایبری است.

با اینکه ابزارهای تخصصی برای حذف روت‌کیت‌های MBR وجود دارند، اما بسیاری از متخصصین توصیه می‌کنند که درصورت آلوده شدن به این بدافزارها، کل درایو سخت را کاملاً پاکسازی نموده و پارتیشن‌ها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.

About The Author

Related posts

    1. ::: واحد خبر

      درود بر شما
      خیر ما فروش آنتی ویروس نداریم ولی میتوانید به تبلیغات بنری ما دقت نمائید
      با تشکر از حسن توجه شما به سایت اِی وی نیوز

      Reply

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*