“自爆”病毒Rombertik
責編:admin |2015-05-08 13:28:43Rombertik是一款高度復雜的病毒(惡意軟件),它使用了多級混淆、高度復雜的逃避檢測技術和反分析技術,并且該惡意軟件能夠通過擦除硬盤數據防止被他人分析。此外,它能夠收集用戶瀏覽Web網站的所有信息,并獲取用戶登錄憑證和其他敏感數據。
Rombertik原理介紹
近期,思科Talos團隊的安全專家發現了一款名為Rombertik的新型惡意軟件,它實現了高度復雜的逃避檢測技術和防止分析技術,它還能夠刪除受害者硬盤數據,以使計算機無法正常使用。該惡意軟件的目的是收集用戶瀏覽Web網站的所有信息以及用戶登錄憑證和其他敏感數據。
根據研究人員消息,Rombertik通過惡意電子郵件來感染用戶。
Talos團隊的專家們已經對Rombertik代理進行了逆向分析,并發現了該惡意軟件的行為和目的,包括多級混淆、反惡意軟件分析,并且它能夠在最后時刻自我銷毀并擦除硬盤中的所有數據。研究人員解釋說:
“一旦脫殼之后的Rombertik開始執行,那么最后的反分析函數將會運行,如果檢測失敗,那么將變得尤其麻煩。該函數會對內存中的一個資源計算其32位的哈希值,并將其與未加殼樣本的PE文件編譯時間戳進行比較。如果該資源或者編譯時間已被修改,那么該惡意軟件將會進行破壞性的行為。
首先,它試圖重寫物理硬盤PhysicalDisk0的主引導記錄(MBR),這將造成計算機無法操作。如果Rombertik沒有重寫MBR的權限,那么它將通過使用隨機生成的RC4鍵加密所有的文件,以此銷毀用戶主文件夾(例如C:\Documents and Settings\Administrator\)中的所有文件。在重寫MBR之后,或者主文件夾中的文件被加密之后,計算機將會自動重啟。
MBR開始于一些特定代碼,這些代碼會在操作系統運行之前得到執行。重寫之后的MBR包含一些打印‘Carbon crack attempt, failed’的代碼,然后就會進入一個無限循環,以防止系統繼續啟動。”
研究人員證實,MBR還包含一些與磁盤分區相關的數據,這意味著當惡意軟件修改MBR時,它還會將分區字節設置為Null,從而使得取證專家很難訪問數據。當電腦重新啟動后,受害者將會看到下面的屏幕顯示。
“實際上,Rombertik剛開始表現得很像一個擦除惡意軟件樣本,如果它檢測到自己正在被分析,那么將會破壞用戶的計算機。雖然Talos團隊的專家們在以往的惡意軟件樣本中都見到過反分析和反調試技術,但在這一點上Rombertik比較獨特,因為當它檢測到與軟件分析相關的特定屬性時,它將試圖摧毀整個計算機。”
安全措施
可以肯定的是,Rombertik是一款非常復雜的惡意軟件。然而,針對Rombertik最好的防御措施目前來看只有檢查殺毒軟件是否最新、不要打開不明信息的電子郵件等等。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)