Szerző: Hlács Ferenc

2015. május 5. 15:20

Mindent feléget maga mögött a Rombertik malware

Használhatatlanná teszi a számítógépet az újonnan felfedezett Rombertik nevű malware - legalábbis ha észreveszi, hogy kódját elemezni próbálják. A kártékony szoftvert a Cisco kutatói fedezték fel, az jellemzően rosszindulatú email csatolmányokkal terjed.

Mindent elpusztít a számítógépen Cisco Systems kutatói által felfedezett új malware: a Rombertik névre keresztelt kártevőt készítői többféle funkcióval is felszerelték, hogy az el tudja kerülni az észlelést és a "fogságba esést" - a szoftver végső esetben megsemmisíti magát és vele együtt a merevlemez tartalmát, ezzel használhatatlanná téve az adott számítógépet.

A Talos Group biztonsági kutatórészleg szerint egy igen összetett kártevőről van szó, amely a PC-re jutva gyakorlatilag minden online aktivitást követ, elsősorban az adott felhasználó különböző szolgáltatásokhoz tartozó belépési adataira vadászva - a szakértők szerint a szoftver mindenféle preferenciát mellőzve, válogatás nélkül gyűjti a potenciális felhasználóneveket, illetve jelszavakat, amelyeket aztán a támadók szervereire továbbít.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A Rombertik az önmegsemmisítés előtt többféle módszerrel is megpróbál észrevétlen maradni, illetve az elemzést sem könnyíti meg: statikus és dinamikus analízisgátló funkciókat egyaránt tartalmaz, emellett többszintű obfuszkációval is ellátták, így működése csak nehezen térképezhető fel. A malware, mielőtt kicsomagolná magát a fertőzött rendszeren, többek között ellenőrzi, hogy nem sandboxban futtatják-e, majd a telepítés elvégeztével, az információgyűjtés megkezdése előtt még egy tesztet lefuttat és azt is megnézi, nem vizsgálják-e kódját az adott gép memóriájában. Amennyiben itt elemzést tapasztal, a Rombertik megpróbálja törölni a háttértár partíciós szektorát (más néven Master Boot Record vagy MBR), majd újraindítani a számítógépet, ezzel használhatatlanná téve azt.

A malware mindezek mellett az elemzőeszközök megtévesztésére véletlenszerű adatokat ír a memóriába - a kutatók szerint mintegy 960 millió írási utasításról van szó, amelyet ha rögzíteni akarnának az analízis során, a keletkezett napló mérete a 100 gigabájtot is meghaladná, ekkora adatmennyiség kiírása pedig egy hagyományos merevlemezen több mint 25 percet is igénybe vehet, ami értelemszerűen megnehezíti a vizsgálatot.

A Rombertik elsősorban spamként, rosszindulatú, email csatolmányokkal terjed, amelyek letöltését és megnyitását követően települ az áldozat számítógépére. A kártevő radikális biztonsági funkciói nem csak a kutatóknak szólnak, a készítők azokkal ugyanúgy célozzák a rivális malwaregyártókat, akik esetleg a Rombertik kódjából merítenének ihletet saját "termékeikhez".

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról