史上最狡猾惡意軟件現(xiàn)身：被發(fā)現(xiàn)后會自爆

5月6日，思科安全情報研究團隊Talos Group日前宣稱，他們發(fā)現(xiàn)一種代號為Rombertik的新式惡意軟件。它可以攔截任何輸入瀏覽器窗口中的純文本，并通過垃圾郵件和釣魚郵件傳播。如果在安全檢查中被發(fā)現(xiàn)，這種惡意軟件就會“自爆”，竭力毀掉計算機。

一旦用戶通過點擊鏈接下載Rombertik，它會通過多項檢測。一旦其啟動，并在Windows電腦上運行，就可以查看自己是否被發(fā)現(xiàn)。與其他惡意軟件不同的是，Rombertik會嘗試毀掉計算機。

Talos Group的安全專家本·貝克(Ben Baker)與阿歷克斯·邱(Alex Chiu)寫道：“這款惡意軟件之所以十分獨特，是因為一旦其發(fā)現(xiàn)與惡意軟件分析相關(guān)的特定屬性后(即可能被發(fā)現(xiàn)跡象)，它就會積極嘗試毀掉計算機。”

Rombertik的首要目標是主引導(dǎo)記錄區(qū)(MBR)，即計算機開機后加載操作系統(tǒng)前訪問硬盤時所必須要讀取的首個扇區(qū)。如果未能成功進入這里，Rombertik就會通過隨機使用RC4密匙加密的方法，迅速毀掉用戶主文件夾中的所有文件。而一旦MBR或主文件夾被加密，計算機就會重啟。MBR此后會陷入無限循環(huán)中，從而阻止計算機重新啟動。屏幕上會顯示“Carbon crack attempt, failed”的代碼。

研究人員稱：“Romberik是一款非常復(fù)雜的惡意軟件，其設(shè)計目的就是侵入用戶瀏覽器閱讀憑證和其他敏感信息，以幫助攻擊者滲透和控制服務(wù)器。”

安全專家們發(fā)現(xiàn)，Romberik利用社交工程學(xué)手段誘使用戶下載、解壓縮以及打開附件，最終導(dǎo)致用戶妥協(xié)。在分析樣本時，含有Romberik的郵件似乎來自Windows Corporation。

襲擊者竭力說服用戶查看附件，看他們的業(yè)務(wù)是否符合目標用戶所在機構(gòu)。如果用戶下載和解壓縮文件，隨后就會看到類似縮略圖的文件。一旦它被安裝到電腦上，就會自己解壓。大約97%的解壓文件內(nèi)容看起來都是合法的，包括75張圖片和8000多個實際上沒有任何用處的誘餌功能。Talos Group專家稱：“如此多的功能超過大多數(shù)人的分析能力，根本不可能查看每個功能。”

類似Romberik惡意軟件過去曾出現(xiàn)過，比如2013年對韓國目標和去年對索尼娛樂有限公司發(fā)動的網(wǎng)絡(luò)襲擊?？墒荝omberik總是保持活躍狀態(tài)，將一個字節(jié)的數(shù)據(jù)在內(nèi)存中寫下9億次，這令追蹤工具分析起來非常復(fù)雜。

Talos Group專家稱：“如果分析工具試圖記錄所有9.6億次指令，這些記錄會暴增到100千兆以上。”該公司建議用戶保持良好的安全習(xí)慣，比如確保安裝殺毒軟件、確保時常更新、不要點擊未知發(fā)件人發(fā)送的附件、確保對電子郵件充分掃描等。