資安新聞

[國際] 危險惡意程式Rombertik現蹤

網路設備與路由軟體業者思科(Cisco)安全情報研究團隊Talos Group於5/4在官方部落格(Cisco Blog)揭露一支名為Rombertik的惡意程式，這是一支具有多層反分析能力的間諜程式，特別的是它採取罕見的自我保護措施，一旦發現自己已被偵測，就會移除受害電腦的主開機磁區(Master Boot Record, MBR)，導致受害電腦無法正常開機，藉此降低被分析的機率。Talos Group指出，Rombertik是個複雜的惡意程式，它會附著在使用者的瀏覽器上以讀取各種憑證或機密資訊，並將數據傳送到由駭客掌控的伺服器上，而且Rombertik不只鎖定銀行資訊，還毫無限制地蒐集使用者於各式網站上所曝露的資訊。

Rombertik是藉由垃圾郵件與網路釣魚訊息來感染使用者的電腦，駭客透過各種方式引誘使用者下載、解壓縮或開啟不明的檔案。根據Talos的安裝測試，Rombertik執行的第一步就是進行反分析的檢查，確定自身未被防毒軟體偵測或處於沙箱(Sandbox)之中，完成檢查之後才會進行解壓縮與安裝，安裝後則會執行另一個拷貝版，再以一個含有核心功能的版本覆蓋此一拷貝版。在開始準備執行任務前，還會再進行一次反分析檢查，假設發現自己的身分曝露，即會嘗試摧毀系統的MBR，讓電腦無法正常開機，只能重新安裝作業系統來回復。

Rombertik的最終目的是竊取使用者資訊。它會掃描使用者正在執行的程序來判斷是否有執行中的瀏覽器，然後把自己注入Chrome、Firefox或IE的執行程序中，讀取使用者輸入的所有文字，藉以竊取使用者在所有瀏覽網站中的使用者帳號與密碼。Talos建議所有使用者須安裝最新版的防毒軟體，不要開啟來路不明的郵件及附加檔案，以降低受害的機率。