趋势科技的安全专家发现了一种新的恶意软件，它被追踪为Virobot（RANSOM_VIBOROT.THIAHAH），同时兼具了勒索软件和僵尸网络功能，目前主要在美国肆虐。 [出自:jiwo.org]

一旦某台计算机遭到Virobot的感染，一些目标文件就会被加密，且受感染计算机还会成为垃圾电子邮件僵尸网络的一部分，然后将恶意软件副本分发给更多的受害者。

根据趋势科技的说法，Virobot最初是在9月17日在实际攻击活动中被发现，并且与其他已知的勒索软件家族均不存在任何关联。也就是说，它是一种全新的勒索软件。

当Virobot被下载到计算机之后，它将检查一些特定注册表项（计算机GUID和产品密钥）是否存在，以确定是否对该计算机上的文件进行加密。用于检查特定注册表项的代码如下：

如果注册表项存在，它将会利用加密随机数生成器生成加密密钥和解密密钥，然后通过POST将密钥与受感染计算机相关的数据一起发送到命令和控制（C＆C）服务器。

然后，它将正式开始对文件进行加密。从Virobot用于实现加密功能的代码片段来看，它会对以下文件类型进行加密（采用RSA算法）：.txt、.docx、.xlsx、.pptx、.jpg、.png、.csv、.sql、.mdb、.php、.asp、.xml、.psd、.odt和.html。

在完成加密之后，它将以两种形式显示赎金票据：带有勒索信息的计算机桌面背景和名为“README.ext”的文本文件。有意思的是，尽管Virobot目前主要针对的是美国计算机用户，但它的赎金票据却是采用法语编写的。

从趋势科技的分析报告来看，Virobot还兼具了键盘记录功能，能够收集受害者的击键数据，并上传到C＆C服务器。另外，一旦连接到C＆C服务器，它还可能会下载另一个恶意文件文件，并使用PowerShell执行它。

以上描述的都是Virobot的勒索软件功能，正如文章一开头所提到的那样，Virobot同时还兼具了僵尸网络功能。根据趋势科技的说法，Virobot能够利用受感染计算机上的Microsoft Outlook来实现垃圾电子邮件僵尸网络功能，并将其自身副本（或从C＆C服务器下载的恶意文件）分发给受害者联系人列表中的其他人。

如上所述，勒索软件需要与其C＆C服务器建立通信才能成功加密文件。趋势科技表示，在他们编写这份报告时，Virobot不再能够加密文件，因为它的C＆C服务器已经被移除。