日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
邪惡之極的Rombertik:你想分析我我就毀掉硬盤

一種可記錄擊鍵并盜竊數(shù)據(jù)的新型間諜軟件出現(xiàn),它的邪惡之處在于,如果發(fā)現(xiàn)自己被分析和檢測,就會(huì)改寫硬盤主引導(dǎo)記錄或破壞所有的文件。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了新市免費(fèi)建站歡迎大家使用!

思科安全團(tuán)隊(duì)塔羅斯于今年初發(fā)現(xiàn)這種惡意軟件,并將之命名為Rombertik。思科安全高級(jí)經(jīng)理克雷格·威廉姆斯表示,不斷進(jìn)化的惡意軟件與安全防護(hù)之間尤如一場“數(shù)字軍備競賽”。惡意軟件不再被動(dòng)的逃避檢測,而是主動(dòng)的回?fù)魴z測。

Rombertik在對(duì)付檢測和分析方面有著各種復(fù)雜和非比尋常的手段。比如,它包含1264Kb的垃圾代碼,包括75個(gè)圖像和8000個(gè)從未使用過的函數(shù)。從而,耗費(fèi)分析時(shí)間。

與許多惡意軟件類似,它還能夠檢測和逃避沙盒。與其他執(zhí)行前會(huì)潛伏一段時(shí)間的惡意軟件不同,Rombertik會(huì)把1字節(jié)的隨機(jī)數(shù)據(jù)不停地寫入內(nèi)存,寫入次數(shù)達(dá)9.6億次。沙盒無法區(qū)分這種寫入與系統(tǒng)正常行為的不同,而且如果把這些數(shù)據(jù)都記錄下來的話,數(shù)據(jù)量將會(huì)超過100G并需要半個(gè)小時(shí)才能存到硬盤上。而這,只是Rombertik三種反檢測分析技術(shù)的其中之一。

一旦它躲過檢測,便會(huì)將自己安裝到啟動(dòng)目錄并存入AppData目錄。最終還將第二次拷貝可執(zhí)行程序,并且使用拆包后的可執(zhí)行程序改寫新進(jìn)程的內(nèi)存。這個(gè)拆包后的可執(zhí)行程序有著駭人聽聞的復(fù)雜代碼,包括交織在一起的大量陌生函數(shù)和不必要的跳轉(zhuǎn)以增加分析的復(fù)雜性。安全研究人員表示,想理出這種數(shù)百個(gè)節(jié)點(diǎn)的代碼流程圖來,“結(jié)果是一場惡夢(mèng)?!?/p>

Rombertik最邪惡之極的地方在于,它會(huì)在內(nèi)存計(jì)算出一個(gè)哈希數(shù),然后與拆包后的程序做比較。如果發(fā)現(xiàn)兩者有所不同,它就會(huì)嘗試改寫硬盤的MBR(主引導(dǎo)記錄),計(jì)算機(jī)專業(yè)人員都明白這意味著什么。如果沒有寫入成功,它就會(huì)破壞用戶目錄中的所有文件,使用隨機(jī)生成的RC4密鑰加密所有的文件。

大多數(shù)攜帶Rombertik的釣魚郵件會(huì)包含一個(gè).zip文件的附件,如果用戶解壓這個(gè)文件就會(huì)看到一個(gè)文件的縮略圖,比如PDF,但它實(shí)際上是一個(gè).scr文件。一旦它躲過檢測并得以執(zhí)行,便會(huì)掃描運(yùn)行中的系統(tǒng)進(jìn)程,尋找三大瀏覽器的實(shí)例,并將自己注入相關(guān)進(jìn)程。它能夠通過API函數(shù)處理明文數(shù)據(jù),在加密前讀取瀏覽器的擊鍵記錄,如用戶名、口令、賬號(hào)等。

Rombertik不加區(qū)別的盡可能的盜取所有的用戶數(shù)據(jù),并將之編碼(base64)后發(fā)送到攻擊者的命令控制服務(wù)器。思科安全小組在報(bào)告列出了其中一個(gè)域名:

www.centozos.org.in/don1/gate.php

思科塔羅斯小組表示,該惡意程序在年初發(fā)現(xiàn)時(shí)還鮮為人知,并幾乎有著零檢測率。但現(xiàn)在已經(jīng)發(fā)現(xiàn)了更多,今后很可能會(huì)有一些惡意軟件作者模仿它的手段。

原文地址:http://www.aqniu.com/tools/7590.html


分享題目:邪惡之極的Rombertik:你想分析我我就毀掉硬盤
鏈接分享:http://www.dlmjj.cn/article/cogjeis.html