據稱，新發現的高級惡意軟件Rombertik在被檢測時會讓計算機癱瘓。那么，Rombertik惡意軟件究竟有什么特別之處，當它被檢測時它如何進行自毀?我們是否應該采用不同的反惡意軟件戰略來檢測和隔離它?

[[158473]]

Nick Lewis：任何惡意軟件在感染系統后都可能讓計算機癱瘓，而不只是Rombertik惡意軟件。對于更先進的計算機，惡意軟件編寫者會有更多方法來讓其癱瘓。自1980年代以來，我們就開始看到惡意軟件讓受感染的終端崩潰——惡意軟件會重寫引導扇區，并讓系統不可用。同時，還有很多其他方法來讓終端崩潰。

惡意軟件會試圖躲開虛擬環境以及破壞其存在的證據，對于這種惡意軟件，企業需要更長的時間來檢測和分析。思科公司Talos研究小組在其博客中介紹了新的Rombertik惡意軟件，該惡意軟件會多次檢查以確定它是否在被分析，如果它確定正在被分析，則會通過重寫主引導記錄(MBR)來破壞系統。

重寫MBR的威脅并沒有對反惡意軟件研究人員起到威懾作用，因為他們知道，一個不慎就可能導致系統以及任何保存的分析數據遭到破壞。更大的風險是：IT專業新手會試圖解決問題并刪除該惡意軟件，他們可能不知道在調查惡意軟件以及如何捕捉其登錄憑證時可能導致數據被銷毀。

對于Rombertik惡意軟件，應該采用略微不同的反惡意軟件戰略來進行檢測和隔離，但讓受感染終端恢復的最有效方法是重新安裝系統。如果惡意軟件自毀并導致系統無法啟動，這將不會是一個問題。不過，這種假設的前提是企業已經做好備份或者數據存儲在獨立的系統，企業仍然可以通過監控網絡來檢測該惡意軟件，但不會阻止惡意軟件的網絡通信。