史上最狡猾惡意軟件現(xiàn)身：被發(fā)現(xiàn)后會自爆 _后會

5月6日，思科安全情報研究團隊TalosGroup宣布發(fā)現(xiàn)了一種新的惡意軟件，代號為Rombertik 。它可以攔截任何輸入瀏覽器窗口的純文本，并通過垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件傳播。如果在安全檢查中發(fā)現(xiàn)，這個惡意軟件就會“自爆”，想盡辦法破壞電腦。

一旦用戶通過點擊鏈接下載Rombertik，它將通過許多測試。一旦它啟動并在Windows計算機上運行，您就可以看到自己是否被發(fā)現(xiàn)了。與其他惡意軟件不同，Rombertik會試圖破壞計算機。

TalosGroup的安全專家BenBaker和AlexChiu寫道：“這種惡意軟件是獨一無二的，因為一旦它發(fā)現(xiàn)與惡意軟件分析相關(guān)的特定屬性(也就是說，它可能會被發(fā)現(xiàn)跡象)，它就會主動嘗試破壞計算機。”

Rombertik的主要目標(biāo)是主引導(dǎo)記錄區(qū)(MBR)，這是在計算機開機后加載操作系統(tǒng)之前訪問硬盤時必須讀取的第一個扇區(qū) 。如果您未能成功進入此處，Rombertik將通過隨機使用RC4密鑰加密來快速銷毀用戶個人文件夾中的所有文件。一旦MBR或主文件夾被加密，計算機將重新啟動。然后，MBR將陷入無限循環(huán)，從而阻止計算機重新啟動。屏幕上將顯示“碳裂嘗試，失敗”的代碼。

研究人員表示：“Romberik是一種非常復(fù)雜的惡意軟件，旨在入侵用戶的瀏覽器讀取憑證等敏感信息，從而幫助攻擊者滲透并控制服務(wù)器。”

安全專家發(fā)現(xiàn)，Romberik利用社交工程誘導(dǎo)用戶下載、解壓、打開附件，最終導(dǎo)致妥協(xié) 。分析樣本時，包含Romberik的郵件似乎來自Windows公司。

攻擊者盡力說服用戶檢查附件，看看他們的業(yè)務(wù)是否符合目標(biāo)用戶的組織。如果用戶下載并解壓縮文件，他將看到一個類似于縮略圖的文件。一旦它被安裝到計算機上，它就會自己解壓。大約97%的提取文件看起來是合法的，包括75張圖片和8000多個實際上無用的誘餌功能。Talos集團專家表示：“有太多的功能超出了大多數(shù)人的分析能力，不可能查看每一個功能。”

類似Romberik的惡意軟件過去也出現(xiàn)過，比如2013年對韓國目標(biāo)的網(wǎng)絡(luò)攻擊，以及去年對索尼娛樂有限公司的攻擊。但是Romberik始終處于活動狀態(tài)，在內(nèi)存中寫入一個字節(jié)的數(shù)據(jù)9億次，這使得跟蹤工具的分析非常復(fù)雜。

【史上最狡猾惡意軟件現(xiàn)身：被發(fā)現(xiàn)后會自爆】 Talos集團專家表示：“如果分析工具試圖記錄所有9.6億條指令，這些記錄將激增至100多千兆位。”該公司建議用戶保持良好的安全習(xí)慣，例如確保安裝防病毒軟件，確保經(jīng)常更新，不要點擊未知發(fā)件人發(fā)送的附件，并確保電子郵件得到全面掃描。