Новая версия пакетов вредоносных программ Gozi для MBR-руткитов

). Исследователи из охранной фирмы Trusteer нашли новый вариант банковской троянской программы Gozi, которая заражает главную загрузочную запись компьютера (MBR), чтобы добиться настойчивости.

Мастер Загрузочная запись (MBR) - это загрузочный сектор, который находится в начале накопителя и содержит информацию о том, как этот диск разбит на разделы. Он также включает загрузочный код, который запускается до запуска операционной системы.

Некоторые авторы вредоносных программ задействовали MBR, чтобы запустить их вредоносные программы поверх установленных на компьютере антивирусных программ.

[Дополнительная информация: удалить вредоносное ПО с вашего ПК с Windows]

Сложная вредоносная программа, использующая компоненты руткита MBR, такие как TDL4, также известные как Alureon или TDSS, является частью причины, по которой Microsoft создала функцию безопасной загрузки в Windows 8. Это вредоносное ПО трудно обнаружить а также удалять и даже выдержать процедуры переустановки операционной системы.

«Несмотря на то, что руткиты MBR считаются высокоэффективными, они не были интегрированы во множество финансовых вредоносных программ», - заявил в четверг в блоге в интервью исследователю Trusteer Этей Маор. «Одним из исключений был руткит Mebroot, который использовался для развертывания Torpig (он же Sinowal / Anserin)».

Инфекция Internet Explorer

Новый компонент руткита Gozi MBR ждет запуска Internet Explorer и затем внедряет вредоносный код в процесс, Это позволяет вредоносной программе перехватывать трафик и выполнять веб-инъекции внутри браузера, как это делают большинство финансовых программ для троянов.

Тот факт, что новый вариант Gozi был обнаружен, показывает, что киберпреступники продолжают использовать эту угрозу, несмотря на то, что ее главный разработчик и некоторые из его сообщников были арестованы и предъявлены обвинения. Троянец Gozi существует уже не менее пяти лет.

Новый вариант, обнаруженный исследователями Trusteer, очень похож на более раннюю версию, за исключением дополнительного компонента MBR-руткита, сказал Маор. «Это может указывать на то, что новый руткит продается на форумах киберпреступников и принимается авторами вредоносных программ».

Хотя некоторые специальные средства для удаления руткитов MBR действительно существуют, многие эксперты рекомендуют вытирать весь жесткий диск и воссоздавать разделы чтобы обеспечить чистый старт, если компьютер был заражен такой угрозой, сказал Маор.

Поскольку для очистки таких вредоносных программ могут потребоваться расширенные технические знания, лучше всего обратиться в отдел технической поддержки вашего антивирусного провайдера, чтобы получить экспертную помощь.