این بدافزار مالی، كدی را در ركورد اصلی راهاندازی سیستم نصب میكند.
محققان شركت امنیتی Trusteer ویرایش جدیدی از تروجان بانكی Gozi را كشف كردهاند كه ركورد اصلی راهاندازی (MBR) سیستم را آلوده میكند.
MBR سكتور راهاندازی است كه در ابتدای درایو ذخیرهسازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سكتور همچنین شامل كد راهاندازی است كه پیش از آغاز كار سیستم عامل، اجرا میگردد.
از مرکز ماهر، بدافزارهای پیچیدهای مانند TDL۴ (كه با نام Alureon یا TDSS نیز شناخته میشود) كه MBR را هدف قرار میدهند، یكی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روالهای نصب مجدد سیستم عامل را احیا نماید.
به گفته یك محقق Trusteer، اگرچه روتكیتهایی كه MBR را هدف قرار میدهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یك استثناء در این مورد، روتكیت Mebroot است.
جزء روتكیتی Gozi منتظر میماند تا IE شروع به كار كند و سپس كد خرابكار را به پردازه تزریق میكند. این كار به بدافزار اجازه میدهد در ترافیك دخالت كرده و مانند سایر تروجانهای مالی- تجاری، تزریقهای وب را به درون مرورگر انجام دهد.
این واقعیت كه یك ویرایش جدید از Gozi كشف شده است نشان میدهد كه علی رغم دستگیری تولید كنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه میدهند.
این ویرایش جدید كه توسط محققان Trusteer كشف شده است، بسیار شبیه به یك نسخه قدیمی است، به جز اینكه از یك جزء روتكیتی MBR استفاده میكند. این میتواند بدان معنا باشد كه یك روتكیت جدید در حال فروش در فرومهای مجرمان سایبری است.
با اینكه ابزارهای تخصصی برای حذف روتكیتهای MBR وجود دارند، اما بسیاری از متخصصین توصیه میكنند كه درصورت آلوده شدن به این بدافزارها، كل درایو سخت را كاملاً پاكسازی نموده و پارتیشنها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.
