Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Mindent feléget maga mögött a Rombertik malware

Hlács Ferenc, 2015. május 05. 15:20
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Használhatatlanná teszi a számítógépet az újonnan felfedezett Rombertik nevű malware - legalábbis ha észreveszi, hogy kódját elemezni próbálják. A kártékony szoftvert a Cisco kutatói fedezték fel, az jellemzően rosszindulatú email csatolmányokkal terjed.

hirdetés

Mindent elpusztít a számítógépen Cisco Systems kutatói által felfedezett új malware: a Rombertik névre keresztelt kártevőt készítői többféle funkcióval is felszerelték, hogy az el tudja kerülni az észlelést és a "fogságba esést" - a szoftver végső esetben megsemmisíti magát és vele együtt a merevlemez tartalmát, ezzel használhatatlanná téve az adott számítógépet.

A Talos Group biztonsági kutatórészleg szerint egy igen összetett kártevőről van szó, amely a PC-re jutva gyakorlatilag minden online aktivitást követ, elsősorban az adott felhasználó különböző szolgáltatásokhoz tartozó belépési adataira vadászva - a szakértők szerint a szoftver mindenféle preferenciát mellőzve, válogatás nélkül gyűjti a potenciális felhasználóneveket, illetve jelszavakat, amelyeket aztán a támadók szervereire továbbít.

A Rombertik az önmegsemmisítés előtt többféle módszerrel is megpróbál észrevétlen maradni, illetve az elemzést sem könnyíti meg: statikus és dinamikus analízisgátló funkciókat egyaránt tartalmaz, emellett többszintű obfuszkációval is ellátták, így működése csak nehezen térképezhető fel. A malware, mielőtt kicsomagolná magát a fertőzött rendszeren, többek között ellenőrzi, hogy nem sandboxban futtatják-e, majd a telepítés elvégeztével, az információgyűjtés megkezdése előtt még egy tesztet lefuttat és azt is megnézi, nem vizsgálják-e kódját az adott gép memóriájában. Amennyiben itt elemzést tapasztal, a Rombertik megpróbálja törölni a háttértár partíciós szektorát (más néven Master Boot Record vagy MBR), majd újraindítani a számítógépet, ezzel használhatatlanná téve azt.

A malware mindezek mellett az elemzőeszközök megtévesztésére véletlenszerű adatokat ír a memóriába - a kutatók szerint mintegy 960 millió írási utasításról van szó, amelyet ha rögzíteni akarnának az analízis során, a keletkezett napló mérete a 100 gigabájtot is meghaladná, ekkora adatmennyiség kiírása pedig egy hagyományos merevlemezen több mint 25 percet is igénybe vehet, ami értelemszerűen megnehezíti a vizsgálatot.

A Rombertik elsősorban spamként, rosszindulatú, email csatolmányokkal terjed, amelyek letöltését és megnyitását követően települ az áldozat számítógépére. A kártevő radikális biztonsági funkciói nem csak a kutatóknak szólnak, a készítők azokkal ugyanúgy célozzák a rivális malwaregyártókat, akik esetleg a Rombertik kódjából merítenének ihletet saját "termékeikhez".

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.