據(jù)稱，新發(fā)現(xiàn)的高級(jí)惡意軟件Rombertik在被檢測(cè)時(shí)會(huì)讓計(jì)算機(jī)癱瘓。那么，Rombertik惡意軟件究竟有什么特別之處，當(dāng)它被檢測(cè)時(shí)它如何進(jìn)行自毀?我們是否應(yīng)該采用不同的反惡意軟件戰(zhàn)略來檢測(cè)和隔離它?

[[158473]]

Nick Lewis：任何惡意軟件在感染系統(tǒng)后都可能讓計(jì)算機(jī)癱瘓，而不只是Rombertik惡意軟件。對(duì)于更先進(jìn)的計(jì)算機(jī)，惡意軟件編寫者會(huì)有更多方法來讓其癱瘓。自1980年代以來，我們就開始看到惡意軟件讓受感染的終端崩潰——惡意軟件會(huì)重寫引導(dǎo)扇區(qū)，并讓系統(tǒng)不可用。同時(shí)，還有很多其他方法來讓終端崩潰。

惡意軟件會(huì)試圖躲開虛擬環(huán)境以及破壞其存在的證據(jù)，對(duì)于這種惡意軟件，企業(yè)需要更長(zhǎng)的時(shí)間來檢測(cè)和分析。思科公司Talos研究小組在其博客中介紹了新的Rombertik惡意軟件，該惡意軟件會(huì)多次檢查以確定它是否在被分析，如果它確定正在被分析，則會(huì)通過重寫主引導(dǎo)記錄(MBR)來破壞系統(tǒng)。

重寫MBR的威脅并沒有對(duì)反惡意軟件研究人員起到威懾作用，因?yàn)樗麄冎?，一個(gè)不慎就可能導(dǎo)致系統(tǒng)以及任何保存的分析數(shù)據(jù)遭到破壞。更大的風(fēng)險(xiǎn)是：IT專業(yè)新手會(huì)試圖解決問題并刪除該惡意軟件，他們可能不知道在調(diào)查惡意軟件以及如何捕捉其登錄憑證時(shí)可能導(dǎo)致數(shù)據(jù)被銷毀。

對(duì)于Rombertik惡意軟件，應(yīng)該采用略微不同的反惡意軟件戰(zhàn)略來進(jìn)行檢測(cè)和隔離，但讓受感染終端恢復(fù)的最有效方法是重新安裝系統(tǒng)。如果惡意軟件自毀并導(dǎo)致系統(tǒng)無法啟動(dòng)，這將不會(huì)是一個(gè)問題。不過，這種假設(shè)的前提是企業(yè)已經(jīng)做好備份或者數(shù)據(jù)存儲(chǔ)在獨(dú)立的系統(tǒng)，企業(yè)仍然可以通過監(jiān)控網(wǎng)絡(luò)來檢測(cè)該惡意軟件，但不會(huì)阻止惡意軟件的網(wǎng)絡(luò)通信。