Nuova versione di pacchetti di malware finanziario Gozi MBR rootkit

I ricercatori della sicurezza aziendale Trusteer hanno trovato una nuova variante del programma Trojan bancario di Gozi che infetta il Master Boot Record (MBR) di un computer per raggiungere la persistenza.

The Master Boot Record (MBR) è un settore di avvio che risiede all'inizio di un'unità di archiviazione e contiene informazioni su come tale unità è partizionata. Include anche il codice di avvio che viene eseguito prima dell'avvio del sistema operativo.

Alcuni autori di malware hanno sfruttato l'MBR per dare ai programmi maligni un vantaggio rispetto ai programmi antivirus installati sul computer.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Malware sofisticato che utilizza componenti rootkit MBR, come TDL4, noto anche come Alureon o TDSS, sono parte del motivo per cui Microsoft ha sviluppato la funzionalità Secure Boot in Windows 8. Questo malware è difficile da rilevare e rimuovere e può anche sopravvivere alle procedure di reinstallazione del sistema operativo.

"Anche se i rootkit MBR sono considerati altamente efficaci, non sono stati integrati in un sacco di malware finanziario", ha detto giovedì il ricercatore Trusteer Etay Maor in un post sul blog. "Un'eccezione era il rootkit Mebroot utilizzato per distribuire Torpig (ovvero Sinowal / Anserin)."

Infects Internet Explorer

Il nuovo componente rootkit MBR di Gozi attende il lancio di Internet Explorer e quindi introduce il codice dannoso nel processo. Ciò consente al malware di intercettare il traffico ed eseguire le iniezioni Web all'interno del browser come fa la maggior parte dei programmi di Trojan finanziari. Ma il fatto che sia stata scoperta una nuova variante di Gozi mostra che i criminali informatici continuano a usare questa minaccia nonostante il fatto che lo sviluppatore principale e alcuni dei suoi complici sono stati arrestati e incriminati. Il Trojan Gozi è in circolazione da almeno cinque anni.

La nuova variante rilevata dai ricercatori del Trusteer è molto simile a una versione precedente, ad eccezione del componente aggiuntivo del rootkit MBR, ha detto Maor. "Questo potrebbe indicare che un nuovo rootkit viene venduto nei forum dei criminali informatici ed è adottato dagli autori di malware."

Mentre esistono alcuni strumenti dedicati per rimuovere i rootkit di MBR, molti esperti raccomandano di cancellare l'intero disco rigido e ricreare le partizioni Al fine di garantire una partenza pulita se il computer è stato infettato da una tale minaccia, Maor ha detto.

Poiché la pulizia di tale malware potrebbe richiedere conoscenze tecniche avanzate, è probabilmente meglio contattare il dipartimento di supporto tecnico del proprio fornitore di antivirus per ottenere l'aiuto di esperti.