“自爆”病毒Rombertik
責(zé)編:admin |2015-05-08 13:28:43Rombertik是一款高度復(fù)雜的病毒(惡意軟件),它使用了多級混淆、高度復(fù)雜的逃避檢測技術(shù)和反分析技術(shù),并且該惡意軟件能夠通過擦除硬盤數(shù)據(jù)防止被他人分析。此外,它能夠收集用戶瀏覽Web網(wǎng)站的所有信息,并獲取用戶登錄憑證和其他敏感數(shù)據(jù)。
Rombertik原理介紹
近期,思科Talos團(tuán)隊的安全專家發(fā)現(xiàn)了一款名為Rombertik的新型惡意軟件,它實現(xiàn)了高度復(fù)雜的逃避檢測技術(shù)和防止分析技術(shù),它還能夠刪除受害者硬盤數(shù)據(jù),以使計算機無法正常使用。該惡意軟件的目的是收集用戶瀏覽Web網(wǎng)站的所有信息以及用戶登錄憑證和其他敏感數(shù)據(jù)。
根據(jù)研究人員消息,Rombertik通過惡意電子郵件來感染用戶。
Talos團(tuán)隊的專家們已經(jīng)對Rombertik代理進(jìn)行了逆向分析,并發(fā)現(xiàn)了該惡意軟件的行為和目的,包括多級混淆、反惡意軟件分析,并且它能夠在最后時刻自我銷毀并擦除硬盤中的所有數(shù)據(jù)。研究人員解釋說:
“一旦脫殼之后的Rombertik開始執(zhí)行,那么最后的反分析函數(shù)將會運行,如果檢測失敗,那么將變得尤其麻煩。該函數(shù)會對內(nèi)存中的一個資源計算其32位的哈希值,并將其與未加殼樣本的PE文件編譯時間戳進(jìn)行比較。如果該資源或者編譯時間已被修改,那么該惡意軟件將會進(jìn)行破壞性的行為。
首先,它試圖重寫物理硬盤PhysicalDisk0的主引導(dǎo)記錄(MBR),這將造成計算機無法操作。如果Rombertik沒有重寫MBR的權(quán)限,那么它將通過使用隨機生成的RC4鍵加密所有的文件,以此銷毀用戶主文件夾(例如C:\Documents and Settings\Administrator\)中的所有文件。在重寫MBR之后,或者主文件夾中的文件被加密之后,計算機將會自動重啟。
MBR開始于一些特定代碼,這些代碼會在操作系統(tǒng)運行之前得到執(zhí)行。重寫之后的MBR包含一些打印‘Carbon crack attempt, failed’的代碼,然后就會進(jìn)入一個無限循環(huán),以防止系統(tǒng)繼續(xù)啟動。”
研究人員證實,MBR還包含一些與磁盤分區(qū)相關(guān)的數(shù)據(jù),這意味著當(dāng)惡意軟件修改MBR時,它還會將分區(qū)字節(jié)設(shè)置為Null,從而使得取證專家很難訪問數(shù)據(jù)。當(dāng)電腦重新啟動后,受害者將會看到下面的屏幕顯示。
“實際上,Rombertik剛開始表現(xiàn)得很像一個擦除惡意軟件樣本,如果它檢測到自己正在被分析,那么將會破壞用戶的計算機。雖然Talos團(tuán)隊的專家們在以往的惡意軟件樣本中都見到過反分析和反調(diào)試技術(shù),但在這一點上Rombertik比較獨特,因為當(dāng)它檢測到與軟件分析相關(guān)的特定屬性時,它將試圖摧毀整個計算機。”
安全措施
可以肯定的是,Rombertik是一款非常復(fù)雜的惡意軟件。然而,針對Rombertik最好的防御措施目前來看只有檢查殺毒軟件是否最新、不要打開不明信息的電子郵件等等。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧