惡意程序被發現會通過破壞硬盤逃避檢測

思科Talos Group的研究人員報告發現了一個惡意程序會采用多種方式破壞逃避檢測，其中包括破壞硬盤和防止虛擬機分析。研究人員將惡意程序命名為Rombertik， 它會不加選擇的收集用戶在互聯網上的所有操作，可能是為了收集登錄信息和其它敏感數據。它主要是通過郵件的惡意附件安裝在用戶電腦上。研究人員逆向工程了 Rombertik，發現它采用了多種方法逃避分析。程序包含了多重混淆和反分析功能，讓外人難以一窺內部工作。當程序主要組件檢測到它正被安全研究人員 或競爭對手仔細分析，它會自毀，同時破壞用戶的所有數據。破壞方法首先是復寫主引導記錄，如果惡意程序沒有權限復寫主引導記錄，它會用隨機生成的密鑰加密 用戶的主文件夾，然后重啟。復寫的主引導記錄包含了打印文字“Carbon crack attempt, failed”的代碼（如圖）。為了躲避允許在可控環境下運行的沙盒工具，惡意程序會向內存寫入960億次隨機數據。