۳۱فروردین۱۳،
محققان شرکت امنیتی Trusteer ویرایش تازهی از تروجان بانکی Gozi را کشف کردهاند که رکورد اصلی راهاندازی (MBR) سیستم را آلوده میکند. MBR سکتور راهاندازی است که در ابتدای درایو ذخیرهسازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سکتور همچنین شامل کد راهاندازی است که پیش از آغاز کار سیستم عامل، اجرا میگردد. به گزارش ایتنا از مرکز ماهر، بدافزارهای پیچیدهای مانند TDL۴ (که با نام Alureon یا TDSS نیز شناخته میشود) که MBR را هدف قرار میدهند، یکی از علل طراحی ویژگی Secure Boot در ویندوز ۸ می باشند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روالهای نصب مجدد سیستم عامل را احیا نماید. به گفته یک محقق Trusteer، اگرچه روتکیتهایی که MBR را هدف قرار میدهند بسیار تأثیر گذار می باشند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یک استثناء در این مورد، روتکیت Mebroot است. جزء روتکیتی Gozi منتظر میماند تا IE آغاز به کار کند و سپس کد خرابکار را به پردازه تزریق میکند. این کار به بدافزار اجازه میدهد در ترافیک دخالت کرده و مانند سایر تروجانهای مالی- تجاری، تزریقهای وب را به داخل مرورگر انجام دهد. این واقعیت که یک ویرایش تازه از Gozi کشف شده است نشان میدهد که علی رغم دستگیری تولید کنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه میدهند. این ویرایش تازه که توسط محققان Trusteer کشف شده است، بسیار شبیه به یک نسخه قدیمی است، به جز اینکه از یک جزء روتکیتی MBR استفاده میکند. این میتواند بدان معنا باشد که یک روتکیت تازه در حال فروش در فرومهای مجرمان سایبری است. با اینکه ابزارهای تخصصی برای حذف روتکیتهای MBR وجود دارند، اما بسیاری از متخصصین پیشنهاد میکنند که درصورت آلوده شدن به این بدافزارها، کل درایو سخت را کاملاً پاکسازی نموده و پارتیشنها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید. |
ایتنا – آخرین عناوین
باز نشر: پورتال خبری ممتاز نیوز www.momtaznews.com