Bagong bersyon ng Gozi financial malware bundle MBR rootkit

Ang mga mananaliksik mula sa security firm na Trusteer ay may natagpuan na isang bagong variant ng programa ng Gozi banking Trojan na nagdudulot ng Master Boot Record (MBR) ng computer upang makamit ang pagtitiyaga. Ang Boot Record (MBR) ay isang boot sector na naninirahan sa simula ng isang storage drive at naglalaman ng impormasyon tungkol sa kung paano ang drive na iyon ay partitioned.

Ang ilang mga may-akda ng malware ay may leverage sa MBR upang mabigyan ang kanilang mga malisyosong programa na magsimula ang ulo sa paglipas ng mga programa ng antivirus na naka-install sa computer.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC.

Sophisticated malware na gumagamit ng mga rootkit na bahagi ng MBR, tulad ng TDL4, na kilala rin bilang Alureon o TDSS, ay bahagi ng dahilan kung bakit binuo ng Microsoft ang tampok na Secure Boot sa Windows 8. Ang malware na ito ay mahirap tuklasin

"Kahit na ang MBR rootkits ay itinuturing na lubos na epektibo, hindi sila isinama sa maraming pinansiyal na malware," ayon kay Trusteer researcher na si Etay Maor sa isang blog post. "Ang isang pagbubukod ay Mebroot rootkit na ginamit upang i-deploy ang Torpig (aka Sinowal / Anserin)."

Infects Internet Explorer

Ang bagong Gozi MBR rootkit component naghihintay para sa Internet Explorer na ilunsad at pagkatapos ay injects malisyosong code sa proseso. Pinapayagan nito ang malware na mahadlangan ang trapiko at magsagawa ng mga Web injection sa loob ng browser tulad ng karamihan sa mga programang pampinansyal na Trojans, sabi ni Maor.

Ang katotohanan na ang isang bagong variant ng Gozi ay natuklasan ay nagpapakita na ang mga cybercriminal ay patuloy na gumagamit ng banta sa kabila ng katotohanan na pangunahing nag-develop at ilan sa kanyang mga kasabwat ay naaresto at hinuhusgahan. Ang Gozi Trojan ay nakapaligid sa loob ng hindi bababa sa limang taon.

Ang bagong variant na nakita ng mga mananaliksik ng Trusteer ay katulad ng isang mas lumang bersyon, maliban sa karagdagang bahagi ng root ng root ng MBR, sinabi ni Maor. "Ito ay maaaring magpahiwatig na ang isang bagong rootkit ay ibinebenta sa mga forum ng cybercriminals 'at pinagtibay ng mga may-akda ng malware."

Habang ang ilang mga dedikadong kasangkapan para sa pag-alis ng mga rootkit ng MBR ay umiiral, maraming mga eksperto ang inirerekumenda na wiping ang buong hard drive at muling likhain ang mga partisyon upang masiguro ang isang malinis na pagsisimula kung ang computer ay nahawaan ng ganitong banta, sinabi ni Maor.

Dahil ang paglilinis ng gayong malware ay maaaring mangailangan ng mga advanced na teknikal na kaalaman, marahil pinakamahusay na makipag-ugnay sa teknikal na departamento ng suporta ng iyong antivirus provider upang kumuha ng ekspertong tulong.