据称,新发现的高级恶意软件Rombertik在被检测时会让计算机瘫痪。那么,Rombertik恶意软件究竟有什么特别之处,当它被检测时它如何进行自毁?我们是否应该采用不同的反恶意软件战略来检测和隔离它?
Nick Lewis:任何恶意软件在感染系统后都可能让计算机瘫痪,而不只是Rombertik恶意软件。对于更先进的计算机,恶意软件编写者会有更多方法来让其瘫痪。自1980年代以来,我们就开始看到恶意软件让受感染的终端崩溃——恶意软件会重写引导扇区,并让系统不可用。同时,还有很多其他方法来让终端崩溃。
恶意软件会试图躲开虚拟环境以及破坏其存在的证据,对于这种恶意软件,企业需要更长的时间来检测和分析。思科公司Talos研究小组在其博客中介绍了新的Rombertik恶意软件,该恶意软件会多次检查以确定它是否在被分析,如果它确定正在被分析,则会通过重写主引导记录(MBR)来破坏系统。
重写MBR的威胁并没有对反恶意软件研究人员起到威慑作用,因为他们知道,一个不慎就可能导致系统以及任何保存的分析数据遭到破坏。更大的风险是:IT专业新手会试图解决问题并删除该恶意软件,他们可能不知道在调查恶意软件以及如何捕捉其登录凭证时可能导致数据被销毁。
对于Rombertik恶意软件,应该采用略微不同的反恶意软件战略来进行检测和隔离,但让受感染终端恢复的最有效方法是重新安装系统。如果恶意软件自毁并导致系统无法启动,这将不会是一个问题。不过,这种假设的前提是企业已经做好备份或者数据存储在独立的系统,企业仍然可以通过监控网络来检测该恶意软件,但不会阻止恶意软件的网络通信。