一種可記錄擊鍵并盜竊數(shù)據(jù)的新型間諜軟件出現(xiàn)，它的邪惡之處在于，如果發(fā)現(xiàn)自己被分析和檢測(cè)，就會(huì)改寫硬盤主引導(dǎo)記錄或破壞所有的文件。

[[133440]]

思科安全團(tuán)隊(duì)塔羅斯于今年初發(fā)現(xiàn)這種惡意軟件，并將之命名為Rombertik。思科安全高級(jí)經(jīng)理克雷格·威廉姆斯表示，不斷進(jìn)化的惡意軟件與安全防護(hù)之間尤如一場(chǎng)“數(shù)字軍備競(jìng)賽”。惡意軟件不再被動(dòng)的逃避檢測(cè)，而是主動(dòng)的回?fù)魴z測(cè)。

Rombertik在對(duì)付檢測(cè)和分析方面有著各種復(fù)雜和非比尋常的手段。比如，它包含1264Kb的垃圾代碼，包括75個(gè)圖像和8000個(gè)從未使用過(guò)的函數(shù)。從而，耗費(fèi)分析時(shí)間。

與許多惡意軟件類似，它還能夠檢測(cè)和逃避沙盒。與其他執(zhí)行前會(huì)潛伏一段時(shí)間的惡意軟件不同，Rombertik會(huì)把1字節(jié)的隨機(jī)數(shù)據(jù)不停地寫入內(nèi)存，寫入次數(shù)達(dá)9.6億次。沙盒無(wú)法區(qū)分這種寫入與系統(tǒng)正常行為的不同，而且如果把這些數(shù)據(jù)都記錄下來(lái)的話，數(shù)據(jù)量將會(huì)超過(guò)100G并需要半個(gè)小時(shí)才能存到硬盤上。而這，只是Rombertik三種反檢測(cè)分析技術(shù)的其中之一。

一旦它躲過(guò)檢測(cè)，便會(huì)將自己安裝到啟動(dòng)目錄并存入AppData目錄。最終還將第二次拷貝可執(zhí)行程序，并且使用拆包后的可執(zhí)行程序改寫新進(jìn)程的內(nèi)存。這個(gè)拆包后的可執(zhí)行程序有著駭人聽(tīng)聞的復(fù)雜代碼，包括交織在一起的大量陌生函數(shù)和不必要的跳轉(zhuǎn)以增加分析的復(fù)雜性。安全研究人員表示，想理出這種數(shù)百個(gè)節(jié)點(diǎn)的代碼流程圖來(lái)，“結(jié)果是一場(chǎng)惡夢(mèng)。”

Rombertik最邪惡之極的地方在于，它會(huì)在內(nèi)存計(jì)算出一個(gè)哈希數(shù)，然后與拆包后的程序做比較。如果發(fā)現(xiàn)兩者有所不同，它就會(huì)嘗試改寫硬盤的MBR(主引導(dǎo)記錄)，計(jì)算機(jī)專業(yè)人員都明白這意味著什么。如果沒(méi)有寫入成功，它就會(huì)破壞用戶目錄中的所有文件，使用隨機(jī)生成的RC4密鑰加密所有的文件。

大多數(shù)攜帶Rombertik的釣魚郵件會(huì)包含一個(gè).zip文件的附件，如果用戶解壓這個(gè)文件就會(huì)看到一個(gè)文件的縮略圖，比如PDF，但它實(shí)際上是一個(gè).scr文件。一旦它躲過(guò)檢測(cè)并得以執(zhí)行，便會(huì)掃描運(yùn)行中的系統(tǒng)進(jìn)程，尋找三大瀏覽器的實(shí)例，并將自己注入相關(guān)進(jìn)程。它能夠通過(guò)API函數(shù)處理明文數(shù)據(jù)，在加密前讀取瀏覽器的擊鍵記錄，如用戶名、口令、賬號(hào)等。

Rombertik不加區(qū)別的盡可能的盜取所有的用戶數(shù)據(jù)，并將之編碼(base64)后發(fā)送到攻擊者的命令控制服務(wù)器。思科安全小組在報(bào)告列出了其中一個(gè)域名：

www.centozos.org.in/don1/gate.php

思科塔羅斯小組表示，該惡意程序在年初發(fā)現(xiàn)時(shí)還鮮為人知，并幾乎有著零檢測(cè)率。但現(xiàn)在已經(jīng)發(fā)現(xiàn)了更多，今后很可能會(huì)有一些惡意軟件作者模仿它的手段。

原文地址：http://www.aqniu.com/tools/7590.html