恶意程序被发现会通过破坏硬盘逃避检测
思科Talos Group的研究人员报告发现了一个恶意程序会采用多种方式破坏逃避检测,其中包括破坏硬盘和防止虚拟机分析。研究人员将恶意程序命名为Rombertik,它会不加选择的收集用户在互联网上任何所有的操作,可能是为了收集登录信息和其它敏感数据。它主要是通过邮件的恶意附件安装在用户电脑上。研究人员逆向工程了Rombertik,发现它采用了多种方法逃避分析。
程序包含了多重混淆和反分析功能,让外人难以一窥内部工作。当程序主要组件检测到它正被安全研究人员或竞争对手仔细分析,它会自毁,同时破坏用户的所有数据。
破坏方法首先是复写主引导记录,如果恶意程序没有权限复写主引导记录,它会用随机生成的密钥加密用户的主文件夹,然后重启。
复写的主引导记录包含了打印文字“Carbon crack attempt, failed”的代码(如图)。为了躲避允许在可控环境下运行的沙盒工具,恶意程序会向内存写入960亿次随机数据。
相关文章
- 5条评论
痴者池虞2022-05-29 01:23:27- 不加选择的收集用户在互联网上任何所有的操作,可能是为了收集登录信息和其它敏感数据。它主要是通过邮件的恶意附件安装在用户电脑上。研究人员逆向工程了Rombertik,发现
馥妴雾月2022-05-29 07:37:26- led”的代码(如图)。为了躲避允许在可控环境下运行的沙盒工具,恶意程序会向内存写入960亿次随机数据。
惑心寒洲2022-05-29 02:54:01- 。研究人员逆向工程了Rombertik,发现它采用了多种方法逃避分析。程序包含了多重混淆和反分析功能,让外人难以一窥内部工作。当程序主要组件检测到它正被安全研究人员或竞争对手仔细分析,它会自毁,同时破坏用户的所有数据。破坏方法首先是复写主引导记录,如果恶意程序没有权限复写主引导记录,它会用随
边侣断渊2022-05-29 06:43:10- 思科Talos Group的研究人员报告发现了一个恶意程序会采用多种方式破坏逃避检测,其中包括破坏硬盘和防止虚拟机分析。研究人员将恶意程序命名为Rombertik,它会不加选择的收集用户在互联网上任何所有
只酷沐白2022-05-29 04:19:59- 主引导记录,它会用随机生成的密钥加密用户的主文件夹,然后重启。复写的主引导记录包含了打印文字“Carbon crack attempt, failed”的代码(如图)。为了躲避允许在可控环
滇ICP备19002590号-1