一種可記錄擊鍵并盜竊數據的新型間諜軟件出現,它的邪惡之處在于,如果發現自己被分析和檢測,就會改寫硬盤主引導記錄或破壞所有的文件。
思科安全團隊塔羅斯于今年初發現這種惡意軟件,并將之命名為Rombertik。思科安全高級經理克雷格·威廉姆斯表示,不斷進化的惡意軟件與安全防護之間尤如一場“數字軍備競賽”。惡意軟件不再被動的逃避檢測,而是主動的回擊檢測。
Rombertik在對付檢測和分析方面有著各種復雜和非比尋常的手段。比如,它包含1264Kb的垃圾代碼,包括75個圖像和8000個從未使用過的函數。從而,耗費分析時間。
與許多惡意軟件類似,它還能夠檢測和逃避沙盒。與其他執行前會潛伏一段時間的惡意軟件不同,Rombertik會把1字節的隨機數據不停地寫入內存,寫入次數達9.6億次。沙盒無法區分這種寫入與系統正常行為的不同,而且如果把這些數據都記錄下來的話,數據量將會超過100G并需要半個小時才能存到硬盤上。而這,只是Rombertik三種反檢測分析技術的其中之一。
一旦它躲過檢測,便會將自己安裝到啟動目錄并存入AppData目錄。最終還將第二次拷貝可執行程序,并且使用拆包后的可執行程序改寫新進程的內存。這個拆包后的可執行程序有著駭人聽聞的復雜代碼,包括交織在一起的大量陌生函數和不必要的跳轉以增加分析的復雜性。安全研究人員表示,想理出這種數百個節點的代碼流程圖來,“結果是一場惡夢。”
Rombertik最邪惡之極的地方在于,它會在內存計算出一個哈希數,然后與拆包后的程序做比較。如果發現兩者有所不同,它就會嘗試改寫硬盤的MBR(主引導記錄),計算機專業人員都明白這意味著什么。如果沒有寫入成功,它就會破壞用戶目錄中的所有文件,使用隨機生成的RC4密鑰加密所有的文件。
大多數攜帶Rombertik的釣魚郵件會包含一個.zip文件的附件,如果用戶解壓這個文件就會看到一個文件的縮略圖,比如PDF,但它實際上是一個.scr文件。一旦它躲過檢測并得以執行,便會掃描運行中的系統進程,尋找三大瀏覽器的實例,并將自己注入相關進程。它能夠通過API函數處理明文數據,在加密前讀取瀏覽器的擊鍵記錄,如用戶名、口令、賬號等。
Rombertik不加區別的盡可能的盜取所有的用戶數據,并將之編碼(base64)后發送到攻擊者的命令控制服務器。思科安全小組在報告列出了其中一個域名:
www.centozos.org.in/don1/gate.php
思科塔羅斯小組表示,該惡意程序在年初發現時還鮮為人知,并幾乎有著零檢測率。但現在已經發現了更多,今后很可能會有一些惡意軟件作者模仿它的手段。
原文地址:http://www.aqniu.com/tools/7590.html
京公網安備 11010502049343號