脸谱网linkedin推特阅读时刻：~3至少昨天在新闻中，我们看到了Rombertik恶意软件的巨大兴趣。Rombertik经过电子邮件钓鱼攻击渗透到计算机中，该攻击作为.scr屏幕爱护程序可执行文件，包含恶意软件，这些恶意软件将代码注入您的扫瞄器中以监视您，并威胁您的MBR或加密文档检测到它正在被分析或沙盒。我们从1月13日开始就在捕捉这些变种，但直到如今它才变得这样受媒体报道的欢迎。最初的drop是一具压缩的附件，一旦解压缩，它算是一具.scr屏幕爱护程序可执行文件。恶意软件的第一步是检查以确保它没有被调试或沙盒，假如失败，这些检查将试图覆盖您的MBR（主引导记录）。 在那个地点，我们能够看到代码"\\\.\\PhysicalDrive0"在第一具映像中，它试图猎取MBR的句柄。假如它能够访咨询MBR，这么它将执行第二个映像，DDoS防御，在该映像中，它将200个十六进制字节写入带缓冲区的MBR，以便在启动计算机时在BIOS之后显示以下消息-强制引导循环，直到操作系统重新安装。然而，您需要授予此治理员权限才干完成MBR或加密例程。所以，除非您是XP用户，否则您会看到familar user account control弹出询咨询您是否愿意提供yfoye.exe文件"许可。我不懂有多少用户在盲目地授予随机可执行文件的权限，这些文件原本应该是附件中的文档（很多企业的组策略也设置为不授予电子邮件附件的治理员权限），但我怀疑这种恶意软件的吓唬炒作仅限于XP用户。在所有沙盒和调试的检查被清除后，恶意软件将执行它的正常操作，钩住你的扫瞄器。下面的第一张图片是Rombertik在搜索Firefox进程的句柄（它在Chrome等其他扫瞄器上也会如此做）。 第二，它能够安全地截获图像，接着显示它能够安全地传输数据。下面，恶意软件将一具线程注入扫瞄器进程，以拦截和监视网络流量API调用非常是对Rombertik来讲，它经过电子邮件钓鱼和Webroot有多层爱护。首先是经过zip文件——实际上，一旦zip文件写入磁盘，我们就会将其作为zip文件检测出来。假如这不触发，CC防御，这么下一层一旦被提取出来，就会被实时堵塞，防DDoS，就像zip中的.scr可执行文件一样，它被写入磁盘。假如失败，这么下一层爱护是经过启示式（假如文件的一具操作被拾取）。因为在沙盒检查后，它会启动自个儿的第二个副本，并用剩余的线程进程覆盖第二个副本，这是很可疑的，也是加密勒索软件所使用的常用策略，于是我们的启示式想法会留意如此的操作。MD5分析：F504EF6E9A269E354DE802872DC5E209（W32。隆贝提克将军)其他MD5s：9FA5CE4CD6323C40247E78B80955218A（W32。隆贝提克将军)21A728FCD1A45642490EE0DAF17ED73A（W32。隆贝提克将军)FAADD08912BADEF2AB855D0C488B9193（W32。隆贝提克将军)AC94549FAF48D11778265F08535A55B7（W32。隆贝提克将军)D95495728DB1D257C78BCC19B43E94FF（W32。隆贝提克将军)3733DD9DF99C08953216B3DA5A885EFD（W32。隆贝提克将军)B5AFBB36D9E3EC3BC4A9445627C23E4F（W32。隆贝提克将军)38F51919DE5B8C266746006E9766B2F9D（W32。隆贝提克将军)对于作者泰勒·莫菲特安全分析员泰勒·莫菲特是一位安全分析师，他深深地沉醉在恶意软件和反恶意软件的世界中。他专注于经过直截了当处理恶意软件样本、创建反恶意软件情报、撰写博客和测试内部工具来改善客户体验。脸谱网linkedin推特

，DDoS防御

当前位置：主页 > DDOS防御 > ddos防护_能不能防_ddosprotection