1���、GrayFish可以自寫入進(jìn)入計(jì)算機(jī)的引導(dǎo)記錄(在系統(tǒng)啟動(dòng)前運(yùn)行)���,然后將其數(shù)據(jù)存儲(chǔ)進(jìn)操作系統(tǒng)的注冊(cè)表中���。
2���、EquationDrug用于攻擊老版本的Windows操作系統(tǒng),比如Windows 95/98/ME
攻擊者可通過重新編程硬盤固件(即重寫磁盤驅(qū)動(dòng)器的操作系統(tǒng))���,讓惡意軟件達(dá)到極高的頑固性���,甚至在格式化磁盤和重裝系統(tǒng)后仍然能夠存活���。
如果惡意軟件入侵磁盤固件,它將無限次地“復(fù)活”���。它可能會(huì)阻止刪除某個(gè)特定的磁盤扇區(qū)���,或在系統(tǒng)重啟過程中將其替換為惡意代碼。
卡巴斯基專家Costin Raiu對(duì)此警告說:
“還有一種危險(xiǎn)���,即當(dāng)磁盤被感染后���,就無法對(duì)其固件進(jìn)行掃描。簡(jiǎn)言之���,大多數(shù)硬盤只能對(duì)其硬件固件區(qū)域進(jìn)行寫入���,卻不具備讀取功能。這意味著���,我們幾乎對(duì)此一無所知���,無法檢測(cè)磁盤是否被該惡意軟件所感染���。”
由于病毒在系統(tǒng)啟動(dòng)初始階段就處于活動(dòng)狀態(tài)���,它能夠截取加密密碼���,并將其保存在磁盤的隱藏區(qū)域。
斷網(wǎng)照樣竊取信息
不僅如此���,“方程式組織”還能夠從隔離網(wǎng)絡(luò)中獲取數(shù)據(jù)���,該組織使用的惡意軟件Fanny使用了一種獨(dú)特的基于USB的命令和控制機(jī)制,允許攻擊者向來隔絕網(wǎng)絡(luò)之外回傳送數(shù)據(jù)���。
具體來說,這是一個(gè)包含一個(gè)隱藏區(qū)域的U盤���,它可以從未聯(lián)網(wǎng)的計(jì)算機(jī)上收集基礎(chǔ)系統(tǒng)信息���;而當(dāng)該U盤被插入到聯(lián)網(wǎng)計(jì)算機(jī)上時(shí)���,惡意軟件Fanny會(huì)將收集到的系統(tǒng)信息發(fā)送至C&C(命令和控制中心)。
感染各大品牌硬盤
卡巴斯基在報(bào)告中顯示���,很多大品牌硬盤可能均受影響���,包括三星、西數(shù)���、希捷���、邁拓、東芝以及日立等公司���。這些受到感染的硬盤使得攻擊者可以持續(xù)的對(duì)受害者的計(jì)算機(jī)進(jìn)行控制和數(shù)據(jù)竊取���。
多項(xiàng)證據(jù)指向美國(guó)國(guó)安局(NSA)
卡巴斯基并未說明“方程式組織”強(qiáng)大能力的背后主謀是誰,但卻指出其種種手法���,暗示可能與美國(guó)國(guó)安局NSA的間諜活動(dòng)有關(guān)���。
小編推薦閱讀
