史上最狡猾恶意软件:它会自爆

  • 时间:
  • 浏览:2

思科安全情报研究团队Talos Group日前宣称,大伙发现本身代号为Rombertik的新式恶意软件。它还都要拦截任何输入浏览器窗口中的纯文本,并通过垃圾邮件和钓鱼邮件传播。原应在安全检查中被发现,同类恶意软件就会“自爆”,竭力毁掉计算机。

一旦用户通过点击链接下载Rombertik,它会通过多项检测。一旦其启动,并在Windows电脑上运行,就还都要查看买车人否有有被发现。与一些恶意软件不同的是,Rombertik会尝试毁掉计算机。

Talos Group的安全专家本·贝克(Ben Baker)与阿历克斯·邱(Alex Chiu)写道:“这款恶意软件好的反义词十分独特,是原应一旦其发现与恶意软件分析相关的特定属性后(即原应被发现迹象),它就会积极尝试毁掉计算机。”

Rombertik的首要目标是主引导记录区(MBR),即计算机开机后加载操作系统前访问硬盘时所都要要读取的首个扇区。原应未能成功进入这里,Rombertik就会通过随机使用RC4密匙加密的办法,太快了 了 毁掉用户主文件夹中的所有文件。而一旦MBR或主文件夹被加密,计算机就会重启。MBR此后要陷入无限循环中,从而阻止计算机重新启动。屏幕上会显示“Carbon crack attempt, failed”的代码。

研究人员称:“Romberik是一款非常复杂的恶意软件,其设计目的本来 侵入用户浏览器阅读凭证和一些敏感信息,以帮助攻击者渗透和控制服务器。”

安全专家们发现,Romberik利用社交工程学手段诱使用户下载、解压缩以及打开附件,最终原应用户妥协。在分析样本时,蕴藏Romberik的邮件似乎来自Windows Corporation。

袭击者竭力说服用户查看附件,看大伙的业务否有有符合目标用户所在机构。原应用户下载和解压缩文件,你要就会看多同类缩略图的文件。一旦它被安装到电脑上,就会买车人解压。大约97%的解压文件内容看起来后要合法的,包括75张图片和8000多个实际上没哟任何用处的诱饵功能。Talos Group专家称:“没哟多的功能超过大多数人的分析能力,根本不原应查看每个功能。”

同类Romberik恶意软件过去曾总出 过,比如2013年对韩国目标和去年对索尼娱乐有限公司发动的网络袭击。本来 Romberik老会 保持活跃情形,将另俩个字节的数据在内存中写下9亿次,这令追踪工具分析起来非常复杂。

Talos Group专家称:“原应分析工具试图记录所有9.6亿次指令,那先 记录会暴增到80千兆以上。”该公司建议用户保持良好的安全习惯,比如确保安装杀毒软件、确保时常更新、不须点击未知发件人发送的附件、确保对电子邮件充分扫描等。

微信公众号搜索"

驱动之家

"加关注,每日最新的手机、电脑、汽车、智能硬件信息还都要你要一手全掌握。推荐关注!【

微信扫描下图可直接关注