Windows

Versi baru dari kumpulan malware keuangan Gozi MBR rootkit

Section 10

Section 10

Daftar Isi:

Anonim

Peneliti dari firma keamanan Trusteer telah menemukan varian baru dari program Trojan perbankan Gozi yang menginfeksi Master Boot Record komputer (MBR) untuk mencapai ketekunan.

Master Boot Record (MBR) adalah sektor boot yang berada di awal drive penyimpanan dan berisi informasi tentang bagaimana drive tersebut dipartisi. Ini juga termasuk kode boot yang berjalan sebelum sistem operasi dimulai.

Beberapa pembuat malware telah memanfaatkan MBR untuk memberikan program jahat mereka mulai dari awal program antivirus yang diinstal pada komputer.

[Bacaan lebih lanjut: Cara hapus malware dari PC Windows Anda]

Malware canggih yang menggunakan komponen rootkit MBR, seperti TDL4, juga dikenal sebagai Alureon atau TDSS, adalah bagian dari alasan mengapa Microsoft membuat fitur Secure Boot ke dalam Windows 8. Malware ini sulit untuk dideteksi dan menghapus dan bahkan dapat bertahan dari prosedur penginstalan ulang sistem operasi.

"Meskipun rootkit MBR dianggap sangat efektif mereka belum terintegrasi ke dalam banyak malware keuangan," kata peneliti Trusteer Etay Maor Kamis di sebuah posting blog. "Satu pengecualian adalah rootkit Mebroot yang digunakan untuk menyebarkan Torpig (alias Sinowal / Anserin)."

Menginfeksi Internet Explorer

Komponen rootkit Gozi MBR yang baru menunggu Internet Explorer untuk diluncurkan dan kemudian menyuntikkan kode berbahaya ke dalam proses. Hal ini memungkinkan malware untuk memotong lalu lintas dan melakukan suntikan Web di dalam browser seperti kebanyakan program Trojan keuangan, kata Maor.

Fakta bahwa varian baru Gozi ditemukan menunjukkan bahwa penjahat dunia maya terus menggunakan ancaman ini meskipun faktanya adalah pengembang utama dan beberapa anteknya ditangkap dan didakwa. Trojan Gozi telah ada selama setidaknya lima tahun.

Varian baru yang dideteksi oleh peneliti Trusteer sangat mirip dengan versi yang lebih lama, kecuali untuk komponen rootkit MBR tambahan, kata Maor. "Ini mungkin menunjukkan bahwa rootkit baru sedang dijual di forum cybercriminals 'dan diadopsi oleh pembuat malware."

Meskipun beberapa alat khusus untuk menghapus rootkit MBR memang ada, banyak ahli menyarankan untuk menghapus seluruh hard drive dan membuat ulang partisi untuk memastikan awal yang bersih jika komputer telah terinfeksi dengan ancaman semacam itu, kata Maor.

Karena membersihkan malware semacam itu mungkin memerlukan pengetahuan teknis tingkat lanjut, mungkin sebaiknya hubungi departemen dukungan teknis dari penyedia antivirus Anda untuk dapatkan bantuan ahli.