:

Szerző: Hlács Ferenc

2015. május 5. 15:20

Mindent feléget maga mögött a Rombertik malware

Használhatatlanná teszi a számítógépet az újonnan felfedezett Rombertik nevű malware - legalábbis ha észreveszi, hogy kódját elemezni próbálják. A kártékony szoftvert a Cisco kutatói fedezték fel, az jellemzően rosszindulatú email csatolmányokkal terjed.

Mindent elpusztít a számítógépen Cisco Systems kutatói által felfedezett új malware: a Rombertik névre keresztelt kártevőt készítői többféle funkcióval is felszerelték, hogy az el tudja kerülni az észlelést és a "fogságba esést" - a szoftver végső esetben megsemmisíti magát és vele együtt a merevlemez tartalmát, ezzel használhatatlanná téve az adott számítógépet.

A Talos Group biztonsági kutatórészleg szerint egy igen összetett kártevőről van szó, amely a PC-re jutva gyakorlatilag minden online aktivitást követ, elsősorban az adott felhasználó különböző szolgáltatásokhoz tartozó belépési adataira vadászva - a szakértők szerint a szoftver mindenféle preferenciát mellőzve, válogatás nélkül gyűjti a potenciális felhasználóneveket, illetve jelszavakat, amelyeket aztán a támadók szervereire továbbít.

Ollé, lesz SYSADMINDAY!

Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

A Rombertik az önmegsemmisítés előtt többféle módszerrel is megpróbál észrevétlen maradni, illetve az elemzést sem könnyíti meg: statikus és dinamikus analízisgátló funkciókat egyaránt tartalmaz, emellett többszintű obfuszkációval is ellátták, így működése csak nehezen térképezhető fel. A malware, mielőtt kicsomagolná magát a fertőzött rendszeren, többek között ellenőrzi, hogy nem sandboxban futtatják-e, majd a telepítés elvégeztével, az információgyűjtés megkezdése előtt még egy tesztet lefuttat és azt is megnézi, nem vizsgálják-e kódját az adott gép memóriájában. Amennyiben itt elemzést tapasztal, a Rombertik megpróbálja törölni a háttértár partíciós szektorát (más néven Master Boot Record vagy MBR), majd újraindítani a számítógépet, ezzel használhatatlanná téve azt.

A malware mindezek mellett az elemzőeszközök megtévesztésére véletlenszerű adatokat ír a memóriába - a kutatók szerint mintegy 960 millió írási utasításról van szó, amelyet ha rögzíteni akarnának az analízis során, a keletkezett napló mérete a 100 gigabájtot is meghaladná, ekkora adatmennyiség kiírása pedig egy hagyományos merevlemezen több mint 25 percet is igénybe vehet, ami értelemszerűen megnehezíti a vizsgálatot.

A Rombertik elsősorban spamként, rosszindulatú, email csatolmányokkal terjed, amelyek letöltését és megnyitását követően települ az áldozat számítógépére. A kártevő radikális biztonsági funkciói nem csak a kutatóknak szólnak, a készítők azokkal ugyanúgy célozzák a rivális malwaregyártókat, akik esetleg a Rombertik kódjából merítenének ihletet saját "termékeikhez".

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 1. 18:54

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.