目次:
セキュリティ会社Trusteerの研究者は、永続性を達成するためにコンピュータのマスターブートレコード(MBR)に感染するGoziバンキングトロイの木馬プログラムの新しい亜種を発見しました。ブートレコード(MBR)は、ストレージドライブの先頭にあるブートセクタで、そのドライブがどのようにパーティション化されているかに関する情報を含んでいます。また、オペレーティングシステムの起動前に起動するブートコードも含まれています。
マルウェアの作成者の中には、コンピュータにインストールされているウイルス対策プログラムよりも悪意のあるプログラムを開始するためにMBRを利用しているものがあります。あなたのWindows PCからマルウェアを削除する]
AlureonまたはTDSSとも呼ばれるTDL4などのMBRルートキットコンポーネントを使用する洗練されたマルウェアは、マイクロソフトがWindows 8にSecure Boot機能を組み込んだ理由の一部です。 Trusterの研究員であるEtay Maor氏は、「MBRルートキットは非常に効果的だと考えられていますが、多くの金融マルウェアに統合されていません」とブログ記事で述べています。 「Torpig(別名Sinowal / Anserin)を展開するために使用されたMebrootルートキットは例外である」
Internet Explorerに感染する新しいGozi MBRルートキットコンポーネントは、Internet Explorerが起動されるのを待ってから、 。 Maor氏によると、Goziの新しい亜種が発見されたという事実は、サイバー犯罪者がこの脅威を引き続き使用していることを示しています。主な開発者と彼の共犯者の一部が逮捕され、起訴された。 Goziのトロイの木馬は少なくとも5年間存在していました。
Trusteerの研究者によって検出された新しい亜種は、MBRルートキットの追加コンポーネントを除いて古いバージョンと非常に似ています。 「これは、サイバー犯罪者のフォーラムで新しいルートキットが販売され、マルウェア作者が採用していることを示している可能性があります。」