思科揭露危險病毒Rombertik:被偵測到時就摧毀開機磁區

思科(Cisco)安全情報研究團隊Talos Group揭露一隻名為Rombertik的可怕危險病毒,這是一個具有多層反分析能力的間諜程式,一旦發現自己已被偵測,就會移除受減染電腦的主開機紀錄(master boot record, MBR,又稱「主開機磁區」),導致系統無法正常開機。

Talos Group指出,Romberik是個複雜的惡意程式,它會附著在使用者的瀏覽器上以讀取各種憑證或機密資訊,並將數據傳送到由駭客掌控的伺服器上,而且Romberik不只鎖定銀行資訊,還毫無限制地蒐集使用者於各式網站上所曝露的資訊。



Romberik擁有多層的反分析功能,以用來躲避各種靜態或動態分析工具的分析,一旦發現自己被分析或被除錯,就會摧毀系統的主開機紀錄。

Romberik是藉由垃圾郵件與網釣訊息來感染使用者的電腦,駭客透過各種方式引誘使用者下載、解壓縮或開啟不明的檔案。根據Talos的安裝測試,Romberik執行的第一步就是進行反分析的檢查,完成檢查並確定一切妥當之後才會進行解壓縮與安裝,安裝後則會再執行另一個拷貝版,再以一個含有核心功能的版本覆蓋此一拷貝版,在準備執行監控時,還會進行反分析檢查,假設發現自己的病毒身份曝露,即會嘗試催毀系統的主開機紀錄,以讓電腦無法正常開機,只有重新安裝作業系統才能恢復。

Romberik的最終目的是竊取使用者資訊。它會掃描使用者正在執行的程序來判斷是否有執行中的瀏覽器,然後把自己注入Chrome、Firefox或IE的執行程序中,以讀取使用者輸入的所有文字,可能遭竊的資料涵蓋了使用者在所有網站上的使用者名稱與密碼。

消息來源: http://www.ithome.com.tw/news/95688

之前遇過兩部電腦又係無啦啦Boot唔起, 用chkdsk 去repair又冇用, 最尾洗機先搞得掂

TOP

洗機搞得掂果D 邊叫問題,  係d公司it佬成q日防毒掃毒. 係我一q洗左佢

TOP

回覆 3# twaiho2003


    電腦好返
但資料已經無左

TOP

回覆 3# twaiho2003

你咁講係你唔明, 因為好多公司D software 重裝好q 麻煩
d user data 又多, 過data 一陣過少左又大q獲
如果可以唔洗洗機就行得返 一定唔洗機law

TOP

回覆  twaiho2003

你咁講係你唔明, 因為好多公司D software 重裝好q 麻煩
d user data 又多, 過data 一陣 ...
awinds 發表於 2015-5-8 13:53


公司應該將重要data擺上server/nas
如果儲哂響user部desktop pc, 一壞機就大鑊

TOP

本帖最後由 awinds 於 2015-5-8 14:03 編輯

回覆 6# KinChungE

問題係d user 都係好q麻煩
明明有network drive
點都有d data 儲 係local
一陣過少左又開你刀
仲有d email data 好多公司都係儲係local drive!!!
唔要又話唔得

TOP

提示: 作者被禁止或刪除 內容自動屏蔽

TOP

回覆  KinChungE

問題係d user 都係好q麻煩
明明有network drive
點都有d data 儲 係local
一陣過 ...
awinds 發表於 2015-5-8 14:02


呢個係一開頭冇渣正黎做
如果渣正黎做, set好權限唔俾save野響local, 咁佢地就被迫要用network drive

TOP

Local 用家自求多福,我都會盡量備份到雲端Google Drive

TOP