Mindent feléget maga mögött a Rombertik malware
Használhatatlanná teszi a számítógépet az újonnan felfedezett Rombertik nevű malware - legalábbis ha észreveszi, hogy kódját elemezni próbálják. A kártékony szoftvert a Cisco kutatói fedezték fel, az jellemzően rosszindulatú email csatolmányokkal terjed.
Mindent elpusztít a számítógépen Cisco Systems kutatói által felfedezett új malware: a Rombertik névre keresztelt kártevőt készítői többféle funkcióval is felszerelték, hogy az el tudja kerülni az észlelést és a "fogságba esést" - a szoftver végső esetben megsemmisíti magát és vele együtt a merevlemez tartalmát, ezzel használhatatlanná téve az adott számítógépet.
A Talos Group biztonsági kutatórészleg szerint egy igen összetett kártevőről van szó, amely a PC-re jutva gyakorlatilag minden online aktivitást követ, elsősorban az adott felhasználó különböző szolgáltatásokhoz tartozó belépési adataira vadászva - a szakértők szerint a szoftver mindenféle preferenciát mellőzve, válogatás nélkül gyűjti a potenciális felhasználóneveket, illetve jelszavakat, amelyeket aztán a támadók szervereire továbbít.
A Rombertik az önmegsemmisítés előtt többféle módszerrel is megpróbál észrevétlen maradni, illetve az elemzést sem könnyíti meg: statikus és dinamikus analízisgátló funkciókat egyaránt tartalmaz, emellett többszintű obfuszkációval is ellátták, így működése csak nehezen térképezhető fel. A malware, mielőtt kicsomagolná magát a fertőzött rendszeren, többek között ellenőrzi, hogy nem sandboxban futtatják-e, majd a telepítés elvégeztével, az információgyűjtés megkezdése előtt még egy tesztet lefuttat és azt is megnézi, nem vizsgálják-e kódját az adott gép memóriájában. Amennyiben itt elemzést tapasztal, a Rombertik megpróbálja törölni a háttértár partíciós szektorát (más néven Master Boot Record vagy MBR), majd újraindítani a számítógépet, ezzel használhatatlanná téve azt.
A malware mindezek mellett az elemzőeszközök megtévesztésére véletlenszerű adatokat ír a memóriába - a kutatók szerint mintegy 960 millió írási utasításról van szó, amelyet ha rögzíteni akarnának az analízis során, a keletkezett napló mérete a 100 gigabájtot is meghaladná, ekkora adatmennyiség kiírása pedig egy hagyományos merevlemezen több mint 25 percet is igénybe vehet, ami értelemszerűen megnehezíti a vizsgálatot.
A Rombertik elsősorban spamként, rosszindulatú, email csatolmányokkal terjed, amelyek letöltését és megnyitását követően települ az áldozat számítógépére. A kártevő radikális biztonsági funkciói nem csak a kutatóknak szólnak, a készítők azokkal ugyanúgy célozzák a rivális malwaregyártókat, akik esetleg a Rombertik kódjából merítenének ihletet saját "termékeikhez".
