Банковский троян Gozi размещается в MBR


TrusteerИсследователями компании Trusteer был обнаружен новый вариант банковского трояна Gozi, который инфицирует главную загрузочную запись MBR, с целью избежать обнаружения со стороны антивирусов.

MBR - начальный сектор на жестком диске, где содержатся данные о разбиении разделов носителя и сведения об установленных операционных системах. Сначала загружаются данные из MBR, а уже после - операционная система с антивирусным программным обеспечением. Именно поэтому многие вредоносные программы создаются в расчете на работу из MBR. Ранее работу из MBR применяли такие вредоносные коды, как TDL4 или TDSS.

В операционной системе Windows 8 для защиты нулевого сектора от сторонних записей появилась функция Secure Boot. Эксперты утверждают, что вредоносов, размещенных в MBR, достаточно сложно обнаружить и не все операционные системы в принципе способны обращаться к MBR штатными средствами.

Специалисты же Trusteer говорят, что хотя размещение вредоносных кодов в MBR - это эффективный способ их сокрытия, подобные руткиты не могут работать с прикладными функциями, например, воровать данные о платежах, именно поэтому им нужны модули в операционной системе.

Новый Gozu MBR применяет компонент, ожидающий запуска браузера Microsoft Explorer и внедряющий вредоносный код в рабочие процессы браузера. Это позволяет вредоносу перехватывать и проанализировать трафик в веб-сессиях, подобно тому, как это делают другие трояны.

Появление нового варианта Gozi говорит о том, что киберпреступники продолжают использовать этот вредоносный код для реализации противозаконных схем. Новый вариант очень похож на прежний, однако он имеет MBR-компонент.

В компании утверждают, что не все антивирусные программы способны детектировать угрозу в MBR.


Обновлено (20.04.2013 09:22)