محققان شرکت امنیتی Trusteer ویرایش جدیدی از تروجان بانکی Gozi را
کشف کردهاند که رکورد اصلی راهاندازی (MBR) سیستم را آلوده میکند. MBR
سکتور راهاندازی است که در ابتدای درایو ذخیرهسازی قرار دارد و شامل
اطلاعاتی در مورد پارتیشن بندی درایو است. این سکتور همچنین شامل کد
راهاندازی است که پیش از آغاز کار سیستم عامل، اجرا میگردد.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، بدافزارهای پیچیدهای مانند TDL4 (که با نام Alureon یا TDSS نیز
شناخته میشود) که MBR را هدف قرار میدهند، یکی از علل طراحی ویژگی Secure
Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر
است روالهای نصب مجدد سیستم عامل را احیا نماید.
به گفته یک محقق Trusteer، اگرچه روت کیتهایی که MBR را هدف قرار
میدهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری
وجود ندارند. یک استثناء در این مورد، روتکیت Mebroot است. جزء روتکیتی
Gozi منتظر میماند تا IE شروع به کار کند و سپس کد خرابکار را به پردازه
تزریق میکند. این کار به بدافزار اجازه میدهد در ترافیک دخالت کرده و
مانند سایر تروجانهای مالی، تجاری، تزریقهای وب را به درون مرورگر انجام
دهد.
این واقعیت که یک ویرایش جدید از Gozi کشف شده است نشان میدهد که علی
رغم دستگیری تولید کنندگان این بدافزار، مجرمان سایبری به استفاده از این
تهدید ادامه میدهند. این ویرایش جدید که توسط محققان Trusteer کشف شده
است، بسیار شبیه به یک نسخه قدیمی است، به جز اینکه از یک جزء روتکیتی MBR
استفاده میکند. این میتواند بدان معنا باشد که یک روتکیت جدید در حال
فروش در فرومهای مجرمان سایبری است.
با اینکه ابزارهای تخصصی برای حذف روتکیتهای MBR وجود دارند، اما
بسیاری از متخصصین توصیه میکنند که درصورت آلوده شدن به این بدافزارها، کل
درایو سخت را کاملاً پاکسازی نموده و پارتیشنها را مجدداً ایجاد نمایید
تا از حذف بدافزار مطمئن گردید.