Investigadores de la empresa de seguridad Trusteer han encontrado una nueva versión de Gozi, un troyano bancario que infecta el Master Boot Record (MBR) de una computadora con el fin de lograr la persistencia.
El Master Boot Record (MBR) es un sector de arranque que se encuentra al principio de una unidad de almacenamiento y contiene información de las particiones. Contiene un código de inicialización el cual se ejecuta antes de iniciar el sistema operativo. Algunos creadores de malware aprovechan el MBR para engañar a los antivirus del sistema.
Los componentes del rootkit MBR utilizados por malware como TDL4 (Alureon o TDSS), son la razón de que Microsoft desarrollara el modo de arranque seguro en Windows 8. Este malware es difícil de detectar y eliminar e incluso pueden sobrevivir procedimientos de reinstalación del sistema operativo.
Aunque el MBR rootkit se considera muy efectivo, no se ha integrado dentro del malware financiero comentó Etay Maor, investigador de Trusteer, el día jueves en el blog. Una excepción fue el rootkit Mebroot, utilizado para la implementación de Torping (Sinowal o Anserin).
Internet Explorer se infecta:
"El componente del MBR rootkit espera el inicio de Internet Explorer para luego hacer la inyección de código malicioso en el proceso, esto permite al malware interceptar el tráfico y realizar inyecciones en el navegador web como la mayoría de los troyanos financieros", dijo Maor.
El descubrimiento de la nueva variante de Gozi demuestra que los cibercriminales aún utilizan esta amenaza, después de que el autor principal y colaboradores fueron arrestados y acusados. Los registros de Gozi marcan una existencia de al menos cinco años.
"Según Trusteer, la nueva versión detectada por los investigadores es similar a una anterior, a excepción del componente MBR rootkit", comentó Maor. Lo que señala que existe un nuevo rootkit que se vende en los foros de cibercriminales y está siendo adoptado por los desarrolladores de malware.
"Existen algunas herramientas específicas para la eliminación de MBR rootkit. Los expertos recomiendan limpiar todo el disco duro y volver a crear las particiones para garantizar el arranque de un ordenador que ha sido infectado con dicha amenaza", dijo Maor. Llevar a cabo la limpieza de este tipo de malware podría requerir conocimientos avanzados, por tanto, sería mejor ponerse en contacto con el departamento de soporte técnico del proveedor del antivirus para obtener la ayuda de los expertos.
Fuente
El Master Boot Record (MBR) es un sector de arranque que se encuentra al principio de una unidad de almacenamiento y contiene información de las particiones. Contiene un código de inicialización el cual se ejecuta antes de iniciar el sistema operativo. Algunos creadores de malware aprovechan el MBR para engañar a los antivirus del sistema.
Los componentes del rootkit MBR utilizados por malware como TDL4 (Alureon o TDSS), son la razón de que Microsoft desarrollara el modo de arranque seguro en Windows 8. Este malware es difícil de detectar y eliminar e incluso pueden sobrevivir procedimientos de reinstalación del sistema operativo.
Aunque el MBR rootkit se considera muy efectivo, no se ha integrado dentro del malware financiero comentó Etay Maor, investigador de Trusteer, el día jueves en el blog. Una excepción fue el rootkit Mebroot, utilizado para la implementación de Torping (Sinowal o Anserin).
Internet Explorer se infecta:
"El componente del MBR rootkit espera el inicio de Internet Explorer para luego hacer la inyección de código malicioso en el proceso, esto permite al malware interceptar el tráfico y realizar inyecciones en el navegador web como la mayoría de los troyanos financieros", dijo Maor.
El descubrimiento de la nueva variante de Gozi demuestra que los cibercriminales aún utilizan esta amenaza, después de que el autor principal y colaboradores fueron arrestados y acusados. Los registros de Gozi marcan una existencia de al menos cinco años.
"Según Trusteer, la nueva versión detectada por los investigadores es similar a una anterior, a excepción del componente MBR rootkit", comentó Maor. Lo que señala que existe un nuevo rootkit que se vende en los foros de cibercriminales y está siendo adoptado por los desarrolladores de malware.
"Existen algunas herramientas específicas para la eliminación de MBR rootkit. Los expertos recomiendan limpiar todo el disco duro y volver a crear las particiones para garantizar el arranque de un ordenador que ha sido infectado con dicha amenaza", dijo Maor. Llevar a cabo la limpieza de este tipo de malware podría requerir conocimientos avanzados, por tanto, sería mejor ponerse en contacto con el departamento de soporte técnico del proveedor del antivirus para obtener la ayuda de los expertos.
Fuente