à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
สารบัญ:
นักวิจัยจาก Trusteer ซึ่งเป็น บริษัท รักษาความปลอดภัยได้พบรูปแบบใหม่ของโปรแกรม Gozi banking Trojan ที่ติดเชื้อมาสเตอร์บูตเรคคอร์ด (MBR) ของคอมพิวเตอร์เพื่อให้เกิดความคงอยู่
The Master Boot Record (MBR) เป็นภาคบูตที่อยู่ที่จุดเริ่มต้นของไดรฟ์จัดเก็บข้อมูลและมีข้อมูลเกี่ยวกับพาร์ทิชันที่แบ่งพาร์ติชัน นอกจากนี้ยังมีโค้ดสำหรับบูตที่รันก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน
ผู้เขียนมัลแวร์บางรายใช้ประโยชน์จาก MBR เพื่อให้โปรแกรมที่เป็นอันตรายเริ่มต้นโปรแกรมป้องกันไวรัสที่ติดตั้งบนคอมพิวเตอร์
[อ่านเพิ่มเติม: How to ลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]มัลแวร์ที่ซับซ้อนที่ใช้ส่วนประกอบ rootkit MBR เช่น TDL4 หรือ Alureon หรือ TDSS เป็นส่วนหนึ่งของเหตุผลที่ Microsoft สร้างคุณลักษณะ Secure Boot ไว้ใน Windows 8 มัลแวร์นี้ยากที่จะตรวจจับ "แม้ว่า MBR rootkit จะถือว่ามีประสิทธิภาพสูง แต่ก็ยังไม่ถูกรวมเข้ากับมัลแวร์ทางการเงินจำนวนมาก" นักวิเคราะห์จากสถาบัน Trusteer กล่าว Etay Maor กล่าวในบล็อกโพสต์ "มีข้อยกเว้นคือ rootkit Mebroot ที่ใช้ในการปรับใช้ Torpig (aka Sinowal / Anserin)"
ติดตั้ง Internet Explorer
ส่วนประกอบ rootkit Gozi MBR ใหม่รอให้ Internet Explorer เปิดตัวแล้วใส่รหัสที่เป็นอันตรายลงในกระบวนการ. ซึ่งจะช่วยให้มัลแวร์สามารถสกัดกั้นการจราจรและดำเนินการแทรกซึมเว็บภายในเบราเซอร์เช่นโปรแกรมโทรจันการเงินส่วนใหญ่ได้ Maor กล่าวว่า
ความจริงที่ว่า Gozi ค้นพบว่าอาชญากรไซเบอร์ยังคงใช้ภัยคุกคามนี้ต่อไปแม้ว่าจะมี นักพัฒนาหลักและผู้สมรู้ร่วมคิดบางส่วนของเขาถูกจับกุมและฟ้องร้อง Gozi Trojan มีอยู่ประมาณ 5 ปี
ตัวแปรใหม่ที่ตรวจพบโดยนักวิจัย Trusteer มีความคล้ายคลึงกับรุ่นเก่ากว่ายกเว้นส่วนประกอบ rootkit MBR เพิ่มเติม Maor กล่าว "นี่อาจบ่งชี้ว่า rootkit ใหม่กำลังถูกขายในฟอรัมของอาชญากรไซเบอร์และได้รับการยอมรับจากผู้เขียนมัลแวร์"
ในขณะที่มีเครื่องมือเฉพาะสำหรับการลบ rootkit MBR อยู่ผู้เชี่ยวชาญหลายคนแนะนำให้ลบฮาร์ดไดรฟ์ทั้งหมดและสร้างพาร์ติชันใหม่ เพื่อให้แน่ใจว่ามีการเริ่มต้นที่สะอาดถ้าคอมพิวเตอร์ได้รับการติดเชื้อเช่นภัยคุกคาม Maor กล่าวว่า
ตั้งแต่การทำความสะอาดมัลแวร์ดังกล่าวอาจต้องใช้ความรู้ทางเทคนิคขั้นสูงก็อาจดีที่สุดในการติดต่อฝ่ายสนับสนุนด้านเทคนิคของผู้ให้บริการป้องกันไวรัสของคุณเพื่อ ขอความช่วยเหลือจากผู้เชี่ยวชาญ
สามคนถูกตั้งข้อหาแจกจ่ายไวรัส Gozi
สามคนที่ถูกกล่าวหาว่าเข้าร่วมกิจกรรมอาชญากรรมทางไซเบอร์ในยุโรปตะวันออกถูกกล่าวหาว่าเป็นเวลาหลายปีในศาลสหรัฐฯในการสร้างและเผยแพร่ Gozi ไวรัสที่ติดเชื้อมากกว่า 1 ล้านเครื่องและอนุญาตให้อาชญากรไซเบอร์ขโมยเงินหลายล้านเหรียญในระยะเวลาห้าปี
ส่วนมากของเราทราบว่า Master Boot Record (MBR) เป็นบูตเซ็ตชนิดพิเศษที่วางไว้ที่จุดเริ่มต้นของอุปกรณ์จัดเก็บข้อมูลซึ่งจะบอกให้คอมพิวเตอร์ทราบว่าจะทำอย่างไรเมื่อเริ่มทำงาน มีข้อมูลการบูตที่สำคัญซึ่งจำเป็นสำหรับการบูตระบบคอมพิวเตอร์ นอกจากนี้ไวรัสบางครั้งหรือการตั้งค่าระบบปฏิบัติการอื่น ๆ สามารถเขียนทับ MBR / Boot Sector ได้หากคุณมีระบบปฏิบัติการเพียงตัวเดียวที่ติดตั้งอยู่ในเครื่องของคุณทำให้ยากที่จะเริ่มต้นระบบปฏิบัติการที่ได้รับการสนับสนุน
ถ้า MBR เสียหายเนื่องจาก มัลแวร์หรือเหตุผลอื่นใดคุณอาจพบว่าข้อมูลในฮาร์ดไดรฟ์ของคุณจะสูญหายไม่สามารถยกเลิกได้ ดังนั้นจึงเป็นความคิดที่ดีในการสำรองข้อมูล MBR แม้ว่าความจำเป็นในการกู้คืนอาจเกิดขึ้นเฉพาะเมื่อ MBR เสียหายหรือเมื่อการติดตั้งของพีซีเปลี่ยนแปลงโดยไม่รู้ตัวตัวอย่างเช่นพาร์ทิชันฮาร์ดไดรฟ์มีการเปลี่ยนแปลงหรือมีการติดตั้งหรือถอนการติดตั้งระบบปฏิบัติการหนึ่งควรมีสำรองพร้อม
GMER Rootkit Detector, Scanner & Remover , ADS และลบการติดไวรัส Rootkit ออกจาก Windows
การทำความเข้าใจเกี่ยวกับ Rootkit และผลกระทบหรือผลกระทบที่ไม่ดีมีความสำคัญมากสำหรับผู้ใช้พีซีระดับไฮเอนด์และผู้ใช้พีซีทั่วไป Rootkit เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งเมื่อได้รับอนุญาตสำหรับการติดตั้งสามารถสร้างความเสียหายในเครื่องของคุณ rootkit จะทำให้ผู้โจมตีสามารถเข้าถึงระบบทั้งหมดได้ดังนั้นจึงทำให้ระบบเหล่านี้สามารถโจมตีระบบของคุณได้ง่ายขึ้นและในบางกรณีก็ใช้ระบบทั้งหมดเป็นตัวประกัน