ایتنا- این بدافزار مالی، كدی را در ركورد اصلی راه‌اندازی سیستم نصب می‌كند.

محققان شركت امنیتی Trusteer ویرایش جدیدی از تروجان بانكی Gozi را كشف كرده‌اند كه ركورد اصلی راه‌اندازی (MBR) سیستم را آلوده می‌كند. 


MBR سكتور راه‌اندازی است كه در ابتدای درایو ذخیره‌سازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سكتور همچنین شامل كد راه‌اندازی است كه پیش از آغاز كار سیستم عامل، اجرا می‌گردد. 


به گزارش ایتنا از مرکز ماهر، بدافزارهای پیچیده‌ای مانند TDL۴ (كه با نام Alureon یا TDSS نیز شناخته می‌شود) كه MBR را هدف قرار می‌دهند، یكی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روال‌های نصب مجدد سیستم عامل را احیا نماید. 


به گفته یك محقق Trusteer، اگرچه روت‌كیت‌هایی كه MBR را هدف قرار می‌دهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یك استثناء در این مورد، روت‌كیت Mebroot است. 


جزء روت‌كیتی Gozi منتظر می‌ماند تا IE شروع به كار كند و سپس كد خرابكار را به پردازه تزریق می‌كند. این كار به بدافزار اجازه می‌دهد در ترافیك دخالت كرده و مانند سایر تروجان‌های مالی- تجاری، تزریق‌های وب را به درون مرورگر انجام دهد. 


این واقعیت كه یك ویرایش جدید از Gozi كشف شده است نشان می‌دهد كه علی رغم دستگیری تولید كنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه می‌دهند. 


این ویرایش جدید كه توسط محققان Trusteer كشف شده است، بسیار شبیه به یك نسخه قدیمی است، به جز اینكه از یك جزء روت‌كیتی MBR استفاده می‌كند. این می‌تواند بدان معنا باشد كه یك روت‌كیت جدید در حال فروش در فروم‌های مجرمان سایبری است. 

با اینكه ابزارهای تخصصی برای حذف روت‌كیت‌های MBR وجود دارند، اما بسیاری از متخصصین توصیه می‌كنند كه درصورت آلوده شدن به این بدافزارها، كل درایو سخت را كاملاً پاكسازی نموده و پارتیشن‌ها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.