Gozi金融恶意软件包的新版本MBR rootkit

安全公司Trusteer的研究人员发现了Gozi银行木马程序的新变种，该程序感染计算机的主引导记录（MBR）以实现持久性。引导记录（MBR）是一个引导扇区，位于存储驱动器的开始位置，并包含有关该驱动器如何分区的信息。它还包括在操作系统启动之前运行的启动代码。

一些恶意软件作者利用MBR为其恶意程序提供了在计算机上安装的防病毒程序的领先优势

[进一步阅读：如何从Windows PC删除恶意软件]

使用MBR rootkit组件的复杂恶意软件（如TDL4，也称为Alureon或TDSS）是微软在Windows 8中构建安全启动功能的原因之一。此恶意软件很难检测并删除，甚至可以在操作系统重新安装程序中幸存下来。“Trusteer研究员Etay Maor周四在一篇博客文章中称，”即使MBR rootkit被认为是非常有效的，但它们还没有被整合到很多金融恶意软件中。 “一个例外是用于部署Torpig的Mebroot rootkit（又名Sinowal / Anserin）。”

感染Internet Explorer

新的Gozi MBR rootkit组件等待启动Internet Explorer，然后将恶意代码注入进程。这允许恶意软件拦截流量并像大多数金融木马程序一样在浏览器内部执行Web注入。

Gozi的新变种被发现的事实表明，网络犯罪分子继续使用这种威胁，尽管事实上它主要开发商和他的一些同谋被逮捕和起诉。 Gozi Trojan已经存在至少五年了。 Trusteer研究人员发现的新变种与旧版本非常相似，除了额外的MBR rootkit组件外，Maor说。 “这可能意味着一个新的rootkit正在网络犯罪分子的论坛中出售，并被恶意软件作者采用。”

虽然有一些专门用于清除MBR rootkit的工具确实存在，但许多专家建议擦除整个硬盘并重新创建分区为了确保计算机受到这种威胁时的干净启动，Maor说：“由于清理此类恶意软件可能需要高级技术知识，因此最好与您的防病毒提供商的技术支持部门联系，以便获得专家帮助。