Windows

Nieuwe versie van Gozi financiële malwarebundels MBR rootkit

Rootkit Removal From Non Booting Computer by Britec

Rootkit Removal From Non Booting Computer by Britec

Inhoudsopgave:

Anonim

Onderzoekers van beveiligingsbedrijf Trusteer hebben een nieuwe variant gevonden van het Gozi banking Trojan-programma dat het Master Boot Record (MBR) van een computer infecteert om persistentie te bereiken.

The Master Boot Record (MBR) is een opstartsector die zich aan het begin van een opslagstation bevindt en informatie bevat over hoe die schijf is gepartitioneerd. Het bevat ook bootcode die wordt uitgevoerd voordat het besturingssysteem wordt gestart.

Sommige malware-auteurs hebben de MBR gebruikt om hun kwaadaardige programma's een voorsprong te geven op antivirusprogramma's die op de computer zijn geïnstalleerd.

[Meer informatie: Hoe verwijder malware van uw Windows-pc]

Geavanceerde malware die MBR-rootkit-componenten gebruikt, zoals TDL4, ook bekend als Alureon of TDSS, is een van de redenen waarom Microsoft de Secure Boot-functie in Windows 8 heeft gebouwd. Deze malware is moeilijk te detecteren en verwijderen en kunnen zelfs herinstallatieprocedures van besturingssystemen overleven.

"Hoewel MBR-rootkits als zeer effectief worden beschouwd, zijn ze niet in veel financiële malware geïntegreerd," zei Trusteer-onderzoeker Etay Maor donderdag in een blogpost. "Een uitzondering was Mebroot-rootkit die werd gebruikt om Torpig (ook bekend als Sinowal / Anserin) te implementeren."

Infects Internet Explorer

De nieuwe Gozi MBR-rootkitcomponent wacht op het starten van Internet Explorer en injecteert vervolgens schadelijke code in het proces. Hierdoor kan de malware verkeer onderscheppen en webinjecties in de browser uitvoeren zoals de meeste financiële Trojans-programma's doen,

Het feit dat een nieuwe variant van Gozi werd ontdekt, toont aan dat cybercriminelen deze bedreiging blijven gebruiken ondanks het feit dat het hoofdontwikkelaar en enkele van zijn handlangers werden gearresteerd en aangeklaagd. De Gozi-trojan bestaat minstens vijf jaar.

De nieuwe variant die door de onderzoekers van Trusteer is gedetecteerd, lijkt veel op een oudere versie, behalve de aanvullende MBR-rootkitcomponent, zei Maor. "Dit kan erop duiden dat een nieuwe rootkit wordt verkocht in de fora van cybercriminelen en wordt geadopteerd door malwareschrijvers."

Hoewel er enkele speciale hulpmiddelen voor het verwijderen van MBR-rootkits bestaan, bevelen veel experts aan om de hele harde schijf te wissen en de partities opnieuw te maken. om een ​​schone start te garanderen als de computer met een dergelijke dreiging is geïnfecteerd, zei Maor.

Omdat het opschonen van dergelijke malware geavanceerde technische kennis vereist, is het waarschijnlijk het beste contact op te nemen met de technische ondersteuningsafdeling van uw antivirusprovider om deskundige hulp krijgen.