漏洞焦点: Rombertik 恶意软件
Resolution
本周的漏洞集中在新的 Rombertik 恶意软件上。
本周许多 IT 安全网站都在谈论一个新的恶意软件, 它已经被发现, 可以重新写入硬盘上的启动记录, 以避免被检测到。这是相当极端的, 当涉及到什么恶意软件是能够做的, 以规避检测和分析。
恶意软件的目的是收集受害者在网上所做的每件事的数据, 不加区别地这样做, 而不是集中在诸如网络银行或社交媒体账户等领域。这可能在通过仿冒活动和/或恶意电子邮件附件加载到系统之后发生。
Rombertik 在代码中包含许多层的 "垃圾", 隐藏了它的真正目的。它还包括反分析功能。恶意软件试图寻找合法的75图像和8000多个功能。有了这么多的功能, 它试图 "隐藏在噪音" 的其他功能试图显得不显眼。另一步恶意软件尝试, 是写随机信息到内存超过9.6亿次, 以拖延任何检测方法。然后, 它将查看是否修改了自己的代码, 并将函数调用33.5万次作为反调试机制。
一旦完成, Rombertik 将解密并安装在受害者的计算机上。安装后, 它的第二个副本将被启动, 并被恶意软件的核心间谍功能覆盖。
这个恶意软件包含的毒液是, 如果任何检测检查失败, 恶意软件行为破坏性。它首先尝试覆盖 PhysicalDisk0 的主引导记录 (MBR), 这使计算机无法操作。如果恶意软件没有覆盖 MBR 的权限, 它将通过使用随机生成的 RC4 键加密每个文件, 从而销毁用户主文件夹中的所有文件 (例如: C:\Documents 和设置 \ 管理员 \)。在覆盖 MBR 后, 或者主文件夹已加密后, 计算机将重新启动。MBR 从在操作系统之前执行的代码开始。覆盖的 MBR 包含用于打印 "碳裂纹尝试失败" 的代码, 然后进入一个无限循环, 防止系统继续启动。
到目前为止, 下面列出了已确定的一些数据:
文件名:
===========
%AppData% \ 秩/yfoye .exe
%AppData% \ yfoye. 蝙蝠
外部报告的 (SHA256) 哈希:
==================================
0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf
帕洛阿尔托网络报道:
============================
0b0f5fec222f83eb27ce5c8aba0d097cf514f261bef44643c7c4949b4dd81b7a
恶意软件
病毒/Win32 可疑
2852ff5b9239af9a231dafb7c907ae1f6ff9ae381c485f6429398c2236dbca09
恶意软件
病毒/Win32 可疑
32fa83e325603213a86c310d4fe46ef2288a3a47fabe5ea460b4090184da0bcd
恶意软件
特洛伊间谍/Win32. carbgrab
1542
5257d7d9eec5df287a8adc6f3ba2ce22c73c78c19046e1a0bddd2eb4b1b3ede2
恶意软件
病毒/Win32 可疑
55558031617f7e920b8a5083a1736480e6a4015a4051c92391342c15949b214f
恶意软件
VirTool/Win32 ceeinject
75531efbfefba9508bf57c600906b84136b2ea08cbaaebfd7ef76c870be6bad9
未知
病毒/Win32 可疑
c49110aac997896ee881ac057d9153ad20cdcf53672c65c591a68617c57af546
恶意软件
恶意软件/Win32. emogen
命令和控制服务器:
============================
www.centozos.org.in
其他报告此情况的网站:
Rombertik 恶意软件擦拭硬盘驱动器, 以防止检测 |ZDNet
http://blogs.cisco.com/security/talos/rombertik#conclusion
有关此特定恶意软件的更多信息可用, 请重新检查更新。
感谢阅读并保持安全,
乔德里奥