vahid5835
22nd April 2013, 12:24 PM
شناسایی نسخه جدید تروجان بانکی Gozi
http://www.iritn.com/archive/uploads/2013/04/%D8%B1%D9%88%D8%AA%E2%80%8C%D9%83%DB%8C%D8%AA-Mebroot.jpg
محققان شرکت امنیتی Trusteer ویرایش جدیدی از تروجان بانکی Gozi را کشف کردهاند که رکورد اصلی راهاندازی (MBR) سیستم را آلوده میکند. MBR سکتور راهاندازی است که در ابتدای درایو ذخیرهسازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سکتور همچنین شامل کد راهاندازی است که پیش از آغاز کار سیستم عامل، اجرا میگردد. به گزارش سافتگذر (http://www.softgozar.com/)به نقل از فن آوری اطلاعات ایران، بدافزارهای پیچیدهای مانند TDL4 (که با نام Alureon یا TDSS نیز شناخته میشود) که MBR را هدف قرار میدهند، یکی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روالهای نصب مجدد سیستم عامل را احیا نماید. به گفته یک محقق Trusteer، اگرچه روت کیتهایی که MBR را هدف قرار میدهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یک استثناء در این مورد، روتکیت Mebroot است. جزء روتکیتی Gozi منتظر میماند تا IE شروع به کار کند و سپس کد خرابکار را به پردازه تزریق میکند. این کار به بدافزار اجازه میدهد در ترافیک دخالت کرده و مانند سایر تروجانهای مالی، تجاری، تزریقهای وب را به درون مرورگر انجام دهد. این واقعیت که یک ویرایش جدید از Gozi کشف شده است نشان میدهد که علی رغم دستگیری تولید کنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه میدهند. این ویرایش جدید که توسط محققان Trusteer کشف شده است، بسیار شبیه به یک نسخه قدیمی است، به جز اینکه از یک جزء روتکیتی MBR استفاده میکند. این میتواند بدان معنا باشد که یک روتکیت جدید در حال فروش در فرومهای مجرمان سایبری است. با اینکه ابزارهای تخصصی برای حذف روتکیتهای MBR وجود دارند، اما بسیاری از متخصصین توصیه میکنند که درصورت آلوده شدن به این بدافزارها، کل درایو سخت را کاملاً پاکسازی نموده و پارتیشنها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.
http://www.iritn.com/archive/uploads/2013/04/%D8%B1%D9%88%D8%AA%E2%80%8C%D9%83%DB%8C%D8%AA-Mebroot.jpg
محققان شرکت امنیتی Trusteer ویرایش جدیدی از تروجان بانکی Gozi را کشف کردهاند که رکورد اصلی راهاندازی (MBR) سیستم را آلوده میکند. MBR سکتور راهاندازی است که در ابتدای درایو ذخیرهسازی قرار دارد و شامل اطلاعاتی در مورد پارتیشن بندی درایو است. این سکتور همچنین شامل کد راهاندازی است که پیش از آغاز کار سیستم عامل، اجرا میگردد. به گزارش سافتگذر (http://www.softgozar.com/)به نقل از فن آوری اطلاعات ایران، بدافزارهای پیچیدهای مانند TDL4 (که با نام Alureon یا TDSS نیز شناخته میشود) که MBR را هدف قرار میدهند، یکی از علل طراحی ویژگی Secure Boot در ویندوز ۸ هستند. شناسایی و حذف این بدافزار سخت است و حتی قادر است روالهای نصب مجدد سیستم عامل را احیا نماید. به گفته یک محقق Trusteer، اگرچه روت کیتهایی که MBR را هدف قرار میدهند بسیار تأثیر گذار هستند، اما در بسیاری از بدافزارهای مالی و تجاری وجود ندارند. یک استثناء در این مورد، روتکیت Mebroot است. جزء روتکیتی Gozi منتظر میماند تا IE شروع به کار کند و سپس کد خرابکار را به پردازه تزریق میکند. این کار به بدافزار اجازه میدهد در ترافیک دخالت کرده و مانند سایر تروجانهای مالی، تجاری، تزریقهای وب را به درون مرورگر انجام دهد. این واقعیت که یک ویرایش جدید از Gozi کشف شده است نشان میدهد که علی رغم دستگیری تولید کنندگان این بدافزار، مجرمان سایبری به استفاده از این تهدید ادامه میدهند. این ویرایش جدید که توسط محققان Trusteer کشف شده است، بسیار شبیه به یک نسخه قدیمی است، به جز اینکه از یک جزء روتکیتی MBR استفاده میکند. این میتواند بدان معنا باشد که یک روتکیت جدید در حال فروش در فرومهای مجرمان سایبری است. با اینکه ابزارهای تخصصی برای حذف روتکیتهای MBR وجود دارند، اما بسیاری از متخصصین توصیه میکنند که درصورت آلوده شدن به این بدافزارها، کل درایو سخت را کاملاً پاکسازی نموده و پارتیشنها را مجدداً ایجاد نمایید تا از حذف بدافزار مطمئن گردید.