恶意程序被发现会通过破坏硬盘逃避检测

思科Talos Group的研究人员报告发现了一个恶意程序会采用多种方式破坏逃避检测,其中包括破坏硬盘和防止虚拟机分析。研究人员将恶意程序命名为Rombertik,它会不加选择的收集用户在互联网上任何所有的操作,可能是为了收集登录信息和其它敏感数据。它主要是通过邮件的恶意附件安装在用户电脑上。研究人员逆向工程了Rombertik,发现它采用了多种方法逃避分析。

恶意程序被发现会通过破坏硬盘逃避检测的照片 - 1

程序包含了多重混淆和反分析功能,让外人难以一窥内部工作。当程序主要组件检测到它正被安全研究人员或竞争对手仔细分析,它会自毁,同时破坏用户的所有数据。

恶意程序被发现会通过破坏硬盘逃避检测的照片 - 2

破坏方法首先是复写主引导记录,如果恶意程序没有权限复写主引导记录,它会用随机生成的密钥加密用户的主文件夹,然后重启。

复写的主引导记录包含了打印文字“Carbon crack attempt, failed”的代码(如图)。为了躲避允许在可控环境下运行的沙盒工具,恶意程序会向内存写入960亿次随机数据。

weinxin
N软网微信公众号扫一扫
观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:7   其中:访客  7   博主  0

    • lbl lbl
      Maxthon 4.4.5.1000 Maxthon 4.4.5.1000 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

      Carbon crack attempt, failed
      翻译:炭裂纹的尝试,失败

      天津市 联通
      • 純潶冷眸 純潶冷眸
        Internet Explorer 11.0 Internet Explorer 11.0 Windows 8.1 Windows 8.1

        破坏硬盘,硬盘真是软硬都伤。

        河南省南阳市 电信
        • >3<知足$_$ >3<知足$_$
          Internet Explorer 11.0 Internet Explorer 11.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

          恶意程序会向内存写入960亿次随机数据 伤不起

          福建省厦门市 电信
          • lrj lrj
            Google Chrome 41.0.2272.101 Google Chrome 41.0.2272.101 Windows XP Windows XP

            这么高端??? 估计 是 官方 作品 , 现在的IT技术还是老美厉害.

            河北省保定市 联通
            • 我勒个去 我勒个去
              Google Chrome 39.0.2171.99 Google Chrome 39.0.2171.99 Windows 7 x64 Edition Windows 7 x64 Edition

              这个牛啊。。。做病毒的人都什么心态

              黑龙江省大庆市 电信
              • QQ1DC732413FD6730C535AE24FD7F91131 QQ1DC732413FD6730C535AE24FD7F91131
                Internet Explorer 11.0 Internet Explorer 11.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

                不明觉厉啊…难道又回到了以前的病毒时代,硬盘病毒,直接把硬盘报销了….

                广西贵港市 联通
                • wylgogogo wylgogogo
                  Google Chrome 26.0.1410.43 Google Chrome 26.0.1410.43 Windows 7 x64 Edition Windows 7 x64 Edition

                  这么牛了, 软件能破坏硬件的说。

                  湖南省 电信