Новый вариант вредоноса Gozi размещается в MBR

Исследователи из ИТ-компании Trusteer обнаружили новый вариант банковского троянца Gozi, способного инфицировать главную загрузочную запись MBR, чтобы избежать обнаружения со стороны антивирусов. Напомним, что MBR представляет собой начальный сектор на жестком диске, где содержатся данные о разбиении разделов носителя и сведения об установленных операционных системах. Загрузка данных из MBR начинается до того, как загружается операционная система с антивирусным программным обеспечением. Вот поэтому некие сложные вредные программки создаются в расчете на работу из MBR. Ранее работу из MBR применяли такие вредные коды, как TDL4 либо TDSS.

Вот поэтому в операционной системе Windows 8 появилась функция Secure Boot для защиты нулевого сектора от посторониих записей. Специалисты молвят, что вредоносов, размещенных в MBR, очень трудно найти и не все операционные системы в принципе способны обращаться к MBR штатными средствами.

В Trusteer молвят, что хотя размещение вредных кодов в MBR – это действенный метод их сокрытия, подобные руткиты не могут работать с прикладными функциями, к примеру красть данные о платежах, потому им необходимы модули в операционной системе.

Новый Gozu MBR применяет компонент, который ждет пуска браузера Microsoft Explorer и вводит вредный код в рабочие процессы браузера. Это позволяет вредоносу перехватывать и рассматривать трафик в веб-сессиях, подобно тому, как это делают другие троянцы.

“Факт того, что новый вариант Gozi появился, гласит о том, что киберпреступники продолжают использовать этот вредный код для реализации противозаконных схем. Новый вариант очень похож на прежний, но он имеет MBR-компонент”, – молвят в Trusteer.

В компании молвят, что не все антивирусные программки способны детектировать опасность в MBR.