史上最狡猾惡意軟件現(xiàn)身:被發(fā)現(xiàn)后會(huì)自爆

責(zé)任編輯:editor005

作者:風(fēng)帆

2015-05-07 14:46:21

摘自:騰訊科技

思科安全情報(bào)研究團(tuán)隊(duì)Talos Group日前宣稱,他們發(fā)現(xiàn)一種代號(hào)為Rombertik的新式惡意軟件?!薄 “踩珜<覀儼l(fā)現(xiàn),Romberik利用社交工程學(xué)手段誘使用戶下載、解壓縮以及打開(kāi)附件,最終導(dǎo)致用戶妥協(xié)。

思科安全情報(bào)研究團(tuán)隊(duì)Talos Group日前宣稱,他們發(fā)現(xiàn)一種代號(hào)為Rombertik的新式惡意軟件。它可以攔截任何輸入瀏覽器窗口中的純文本,并通過(guò)垃圾郵件和釣魚(yú)郵件傳播。如果在安全檢查中被發(fā)現(xiàn),這種惡意軟件就會(huì)“自爆”,竭力毀掉計(jì)算機(jī)。

史上最狡猾惡意軟件現(xiàn)身:被發(fā)現(xiàn)后會(huì)自爆

一旦用戶通過(guò)點(diǎn)擊鏈接下載Rombertik,它會(huì)通過(guò)多項(xiàng)檢測(cè)。一旦其啟動(dòng),并在Windows電腦上運(yùn)行,就可以查看自己是否被發(fā)現(xiàn)。與其他惡意軟件不同的是,Rombertik會(huì)嘗試毀掉計(jì)算機(jī)。

Talos Group的安全專家本·貝克(Ben Baker)與阿歷克斯·邱(Alex Chiu)寫(xiě)道:“這款惡意軟件之所以十分獨(dú)特,是因?yàn)橐坏┢浒l(fā)現(xiàn)與惡意軟件分析相關(guān)的特定屬性后(即可能被發(fā)現(xiàn)跡象),它就會(huì)積極嘗試毀掉計(jì)算機(jī)。”

Rombertik的首要目標(biāo)是主引導(dǎo)記錄區(qū)(MBR),即計(jì)算機(jī)開(kāi)機(jī)后加載操作系統(tǒng)前訪問(wèn)硬盤(pán)時(shí)所必須要讀取的首個(gè)扇區(qū)。如果未能成功進(jìn)入這里,Rombertik就會(huì)通過(guò)隨機(jī)使用RC4密匙加密的方法,迅速毀掉用戶主文件夾中的所有文件。而一旦MBR或主文件夾被加密,計(jì)算機(jī)就會(huì)重啟。MBR此后會(huì)陷入無(wú)限循環(huán)中,從而阻止計(jì)算機(jī)重新啟動(dòng)。屏幕上會(huì)顯示“Carbon crack attempt, failed”的代碼。

史上最狡猾惡意軟件現(xiàn)身:被發(fā)現(xiàn)后會(huì)自爆

研究人員稱:“Romberik是一款非常復(fù)雜的惡意軟件,其設(shè)計(jì)目的就是侵入用戶瀏覽器閱讀憑證和其他敏感信息,以幫助攻擊者滲透和控制服務(wù)器。”

安全專家們發(fā)現(xiàn),Romberik利用社交工程學(xué)手段誘使用戶下載、解壓縮以及打開(kāi)附件,最終導(dǎo)致用戶妥協(xié)。在分析樣本時(shí),含有Romberik的郵件似乎來(lái)自Windows Corporation。

史上最狡猾惡意軟件現(xiàn)身:被發(fā)現(xiàn)后會(huì)自爆

襲擊者竭力說(shuō)服用戶查看附件,看他們的業(yè)務(wù)是否符合目標(biāo)用戶所在機(jī)構(gòu)。如果用戶下載和解壓縮文件,隨后就會(huì)看到類似縮略圖的文件。一旦它被安裝到電腦上,就會(huì)自己解壓。大約97%的解壓文件內(nèi)容看起來(lái)都是合法的,包括75張圖片和8000多個(gè)實(shí)際上沒(méi)有任何用處的誘餌功能。Talos Group專家稱:“如此多的功能超過(guò)大多數(shù)人的分析能力,根本不可能查看每個(gè)功能。”

類似Romberik惡意軟件過(guò)去曾出現(xiàn)過(guò),比如2013年對(duì)韓國(guó)目標(biāo)和去年對(duì)索尼娛樂(lè)有限公司發(fā)動(dòng)的網(wǎng)絡(luò)襲擊??墒荝omberik總是保持活躍狀態(tài),將一個(gè)字節(jié)的數(shù)據(jù)在內(nèi)存中寫(xiě)下9億次,這令追蹤工具分析起來(lái)非常復(fù)雜。

Talos Group專家稱:“如果分析工具試圖記錄所有9.6億次指令,這些記錄會(huì)暴增到100千兆以上。”該公司建議用戶保持良好的安全習(xí)慣,比如確保安裝殺毒軟件、確保時(shí)常更新、不要點(diǎn)擊未知發(fā)件人發(fā)送的附件、確保對(duì)電子郵件充分掃描等。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)