一种新的恶意软件正在潜伏。Rombertik是一种致命的病毒,一旦你检测到恶意软件,它就会自毁你的电脑。
与大多数计算机病毒不同,Rombertik试图通过简单地使其感染的设备无法使用来避免检测或分析。这种“独特的”病毒非常积极地抵抗捕获,一旦被发现,就开始删除PC上的文件。病毒使机器重新启动不断循环,因为它的逃避机制被触发。该恶意软件还会窃取用户的登录数据和其他敏感信息。
如果Rombertik在初始阶段成功地避免了检测,那么它将自己安装在AppData和启动文件夹中。在某些时候,它会用一个新的未打包的可执行文件替换自己。一旦病毒深深嵌入到系统中,恶意软件就能够对“未包装样本”进行持续检查。
虽然Rombertik不会完全摧毁受感染的机器,但它会擦除硬盘驱动器的分区扇区——主引导记录(MBR)——并在检测到时强制机器重新启动。
如果检测到任何擦除或隔离MBR的更改,则Rombertik会攻击MBR并将其放入重启循环中。如果它的尝试不成功,那么Rombertik将尝试加密存储在主文件夹中的文件。
这种难以捉摸的病毒是由思科领导的Talos安全情报和研究小组的研究人员发现的。Rombertik具有“多层混淆和反分析功能”。
Rombertik是如何安装在设备上的?
当用户点击带有恶意电子邮件的附件时,自毁病毒就会在该特定计算机上安装自己。
“Rombertik已被确认通过发送给潜在受害者的垃圾邮件和网络钓鱼信息进行传播……从高层次上讲,Rombertik是一种复杂的恶意软件,旨在连接用户的浏览器,读取凭证和其他敏感信息,以便泄露到攻击者控制的服务器,类似于Dyre。然而,与旨在针对银行信息的Dyre不同,Rombertik以不加区分的方式从所有网站收集信息。”解释思科的本·贝克和亚历克斯·邱。
Rombertik是如何避免被发现的?
Rombertik设计了几种方法来避免被发现和分析。
1.Rombertik可执行文件包含大量恶意软件无法利用的“垃圾代码”。这有助于增加分析人员需要评估和审查的代码量,从而成功地混淆了识别过程。
2.该恶意软件还将任意数据的单个字节写入内存,其次数高达9.6亿次。这可以有效地误导沙箱,使其认为病毒是一个常规程序。它最终将数据日志增长到超过100GB,这是一个耗时的过程,并进一步复杂化了恶意软件的分析和检测。
如何防范Rombertik?
1.保持你的杀毒软件更新。
2.不要点击陌生人发来的电子邮件附件。
3.遵循电子邮件安全策略:阻止某些类型的附件。
图片来源:Norlando Pobre |Flickr