產品訊息

→新聞中心

 

思科揭露危險病毒Rombertik:被偵測到時就摧毀開機磁區

新聞來源: iThome

Rombertik是個複雜的惡意程式,它會附著在使用者的瀏覽器上以讀取各種憑證或機密資訊,並將數據傳送到由駭客掌控的伺服器上。它還擁有多層的反分析功能,一旦發現自己被分析或被除錯,就會摧毀系統的主開機紀錄。

思科(Cisco)安全情報研究團隊Talos Group揭露一隻名為Rombertik的可怕危險病毒,這是一個具有多層反分析能力的間諜程式,一旦發現自己已被偵測,就會移除受減染電腦的主開機紀錄(master boot record, MBR,又稱「主開機磁區」),導致系統無法正常開機。

Talos Group指出,Rombertik是個複雜的惡意程式,它會附著在使用者的瀏覽器上以讀取各種憑證或機密資訊,並將數據傳送到由駭客掌控的伺服器上,而且Rombertik不只鎖定銀行資訊,還毫無限制地蒐集使用者於各式網站上所曝露的資訊。

Rombertik擁有多層的反分析功能,以用來躲避各種靜態或動態分析工具的分析,一旦發現自己被分析或被除錯,就會摧毀系統的主開機紀錄。

Rombertik是藉由垃圾郵件與網釣訊息來感染使用者的電腦,駭客透過各種方式引誘使用者下載、解壓縮或開啟不明的檔案。根據Talos的安裝測試,Rombertik執行的第一步就是進行反分析的檢查,完成檢查並確定一切妥當之後才會進行解壓縮與安裝,安裝後則會再執行另一個拷貝版,再以一個含有核心功能的版本覆蓋此一拷貝版,在準備執行監控時,還會進行反分析檢查,假設發現自己的病毒身份曝露,即會嘗試催毀系統的主開機紀錄,以讓電腦無法正常開機,只有重新安裝作業系統才能恢復。

Rombertik的最終目的是竊取使用者資訊。它會掃描使用者正在執行的程序來判斷是否有執行中的瀏覽器,然後把自己注入Chrome、Firefox或IE的執行程序中,以讀取使用者輸入的所有文字,可能遭竊的資料涵蓋了使用者在所有網站上的使用者名稱與密碼。

Talos建議使用者採取正規的安全步驟來防範惡意程式,包括安裝最新版的防毒軟體,以及不要開啟來路不明的檔案。(編譯/陳曉莉)