Mindent feléget maga mögött a Rombertik malware
Használhatatlanná teszi a számítógépet az újonnan felfedezett Rombertik nevű malware - legalábbis ha észreveszi, hogy kódját elemezni próbálják. A kártékony szoftvert a Cisco kutatói fedezték fel, az jellemzően rosszindulatú email csatolmányokkal terjed.
Mindent elpusztít a számítógépen Cisco Systems kutatói által felfedezett új malware: a Rombertik névre keresztelt kártevőt készítői többféle funkcióval is felszerelték, hogy az el tudja kerülni az észlelést és a "fogságba esést" - a szoftver végső esetben megsemmisíti magát és vele együtt a merevlemez tartalmát, ezzel használhatatlanná téve az adott számítógépet.
A Talos Group biztonsági kutatórészleg szerint egy igen összetett kártevőről van szó, amely a PC-re jutva gyakorlatilag minden online aktivitást követ, elsősorban az adott felhasználó különböző szolgáltatásokhoz tartozó belépési adataira vadászva - a szakértők szerint a szoftver mindenféle preferenciát mellőzve, válogatás nélkül gyűjti a potenciális felhasználóneveket, illetve jelszavakat, amelyeket aztán a támadók szervereire továbbít.
Július 19-én SYSADMINDAY!
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.A Rombertik az önmegsemmisítés előtt többféle módszerrel is megpróbál észrevétlen maradni, illetve az elemzést sem könnyíti meg: statikus és dinamikus analízisgátló funkciókat egyaránt tartalmaz, emellett többszintű obfuszkációval is ellátták, így működése csak nehezen térképezhető fel. A malware, mielőtt kicsomagolná magát a fertőzött rendszeren, többek között ellenőrzi, hogy nem sandboxban futtatják-e, majd a telepítés elvégeztével, az információgyűjtés megkezdése előtt még egy tesztet lefuttat és azt is megnézi, nem vizsgálják-e kódját az adott gép memóriájában. Amennyiben itt elemzést tapasztal, a Rombertik megpróbálja törölni a háttértár partíciós szektorát (más néven Master Boot Record vagy MBR), majd újraindítani a számítógépet, ezzel használhatatlanná téve azt.
A malware mindezek mellett az elemzőeszközök megtévesztésére véletlenszerű adatokat ír a memóriába - a kutatók szerint mintegy 960 millió írási utasításról van szó, amelyet ha rögzíteni akarnának az analízis során, a keletkezett napló mérete a 100 gigabájtot is meghaladná, ekkora adatmennyiség kiírása pedig egy hagyományos merevlemezen több mint 25 percet is igénybe vehet, ami értelemszerűen megnehezíti a vizsgálatot.
A Rombertik elsősorban spamként, rosszindulatú, email csatolmányokkal terjed, amelyek letöltését és megnyitását követően települ az áldozat számítógépére. A kártevő radikális biztonsági funkciói nem csak a kutatóknak szólnak, a készítők azokkal ugyanúgy célozzák a rivális malwaregyártókat, akik esetleg a Rombertik kódjából merítenének ihletet saját "termékeikhez".
