趋势科技最近发现 ROVNIX 恶意软件家族能够通过宏下载器来散播。这种恶意伎俩之前在DRIDEX恶意软件上见到,它以使用相同招数著称。DRIDEX同时也是CRIDEX银行恶意软件的后继者。
虽然感染方式相当古老,网络犯罪分子了解使用恶意宏也能够达到想要的目的,甚至可以对抗复杂的防御措施。
ROVNIX恶意软件行为
根据趋势科技的分析,ROVNIX会将 rootkit 驱动程序写入 NTFS 磁盘驱动器未分割的空间。这可以有效地隐藏该驱动程序,因为这个未分割空间不会被操作系统和安全产品所看到。
为了加载恶意驱动程序,ROVNIX会修改IPL的内容。修改这个程序代码从而让恶意rootkit驱动程序在操作系统前被加载。这一做法主要有两个目的:逃避侦测,并且在Windows 7及之