“史上最狡猾恶意软件现身：被发现后会自爆”

本篇文章1114字，读完约3分钟

可以阻止在“概述”浏览器窗口中输入的副本。 如果在安全检查中发现，将尝试破坏计算机。

据科学技术信息报道，5月6日，思科安全信息研究小组talos group宣布，日前发现了一种新的恶意软件rombertik。 可以阻止在浏览器窗口中输入的副本，通过垃圾邮件和钓鱼邮件传递。 如果在安全检查中发现，该恶意软件将“自爆”，并竭力破坏计算机。

客户点击链接下载rombertik后，多个检查将通过。 启动并在windows电脑上运行，可以确认自己是否被发现。 与其他恶意软件不同，rombertik试图破坏计算机。

talos集团的安全专家书·； 贝克( ben baker )和亚历克斯·； 库( alex chiu )先生这样写道。 “这个恶意软件之所以非常独特，是因为一旦发现与恶意软件分解相关的特定属性，就会积极尝试破坏计算机。 ”

rombertik的主要目标是masterbridgerecording ( MBR )，它是计算机打开后，在加载操作系统之前访问硬盘时必须读取的第一个扇区。 如果无法访问此处，rombertik将通过随机使用rc4密钥加密来迅速销毁客户主文件夹中的所有文件。 mbr或主文件夹加密后，计算机将重新启动。 mbr随后陷入无限循环，阻止计算机重新启动。 此时将显示“字符破裂条件，失败”的代码。

研究人员表示，“romberik是一种非常复杂的恶意软件，其目的是为了帮助攻击者入侵和控制服务器，入侵客户的浏览器浏览证书和其他机密新闻。 ”

安全专家们发现，romberik利用社会交流工程学手段诱惑用户，通过下载、解压缩和打开附件，最终导致客户妥协。 分解样本后，包含romberik的邮件似乎来自windows公司。

袭击者说服客户检查附件，以确定业务是否符合目标群体的组织。 客户下载并解压缩文件后，将显示类似缩略图的文件。 安装到电脑上后，自己解压。 约97%的解压文件副本看起来是合法的。 这包括75张图片和8000多张实际上没什么用的诱人的诱饵功能。 talos group专家表示:“这么多功能超过了很多人的分解能力，所以我们无法看到每个功能。 ”。

过去发生过像romberik这样的恶意软件。 例如，韩国的目标和去年针对索尼娱乐有限公司的网络攻击等。 但是，由于romberik始终保持活动状态，将1字节的数据写入内存9亿次，因此跟踪工具分解得非常复杂。

talos group的专家说:“如果分解工具要记录所有9亿6000万次的命令，这些记录将急剧增加到100千兆以上。” 该公司建议客户保持良好的安全习性，包括确保杀毒软件的安装、确保频繁更新、重新点击未知发件人发送的附件、确保电子邮件的充分扫描等。 (帆)