Ein neues Informations-stehlender Trojaner genannt Rombertik wurde von Forschern an Cisco getupft. Die Bedrohung durch den Benutzer eingegeben alle Daten im Web-Browser im Klartext lesen und aufzeichnen. Was macht den Trojaner wert schriftlich über sein aggressives Verhalten ist, wenn es erkennt, dass jemand versucht, es zu untersuchen.
Wie funktioniert Rombertik Operate?
Die Forscher beschreiben Rombertik als hoch entwickelte Malware ähnlich der Teure Banking Trojan. Rombertik hat die Fähigkeit, sensible Informationen zu sammeln (zum Beispiel Login-Daten) vom Browser des Opfers und an einen Remote-Server senden. Der Unterschied zwischen den beiden Bedrohungen ist, dass Rombertik zielt auf Daten von allen Web-Seiten durch den Benutzer besucht.
Für den Fall, in den letzten Schritten des Installationsprozesses, der Trojaner jeden Versuch erkennen, zu analysieren, es fällt seinen ursprünglichen Zweck und startet die Festplatte des Opfers zu zerstören, indem Sie den Master Boot Record zu überschreiben.
Cisco-Experten erklären, dass von Anfang an dem Trojaner „mehrere Schichten von Verschleierungs umfasst zusammen mit anti-Analyse-Funktionalität.“
Rombertik die entpackte Version ist 28KB und die gepackte ein - 1264KB. Letztere enthält zahlreiche Funktionen, die ungenutzt bleiben. Analysten glauben, dass ihr Zweck ist der Forscher Zeit, um zu verschwenden jeder von ihnen getrennt zu analysieren.
Zunaechst, Rombertik schreibt ein Byte Zufallsinformation in den Speicher 960 Millionen Mal, um Tracing-Tools und Sandkästen zu vermeiden. Sobald die Malware durchführen wird keine böswilligen Aufgaben, Sandkästen werden nicht ausgelöst, und Analyse-Tools sind zu beschäftigt mit der Verarbeitung der Schreibbefehle.
Bevor der Trojaner auspackt selbst, überprüft er ein letztes Mal auf das Vorhandensein von Analyse-Tool. Es ist der letzte Teil, Kurz vor der Bedrohung gestartet, das ist das eigentliche Problem.
Rombertik Final Touch - die Anti-Analyse Eigenschaft
Hier ist, wie Ciscos Forscher die letzte Funktion des Trojaners erklären:
“Die Funktion berechnet einen 32-Bit-Hash einer Ressource im Speicher und vergleicht es mit dem PE Compilieren Zeitstempel der entpackten Probe. Wenn die Ressource oder die Kompilierung verändert wurde, die Malware wirkt zerstörend. Er versucht zunächst den Master Boot Record zu überschreiben (MBR) von PhysicalDisk0, was macht der Computer nicht mehr funktions.”
Im Fall Rombertik nicht den MBR zu überschreiben erlaubt, die Bedrohung beginnt, die Dateien im Home-Verzeichnis des Opfers zu zerstören. Rombertik verschlüsselt jede Datei mit einem RC4-Schlüssel, die zufällig generiert wird.
Sobald alle Dateien werden verschlüsselt oder der MBR überschrieben wird, die kompromittierte Maschine neu gestartet.
Dann wird die Maschine in einer Endlosschleife gefangen, die jeden Versuch verhindert, dass das System zu booten. Das Opfer wird keine andere Wahl gelassen, aber das Betriebssystem neu zu installieren.
Im Moment des Schreibens dieses Artikels, Rombertik ist an einer Spam-E-Mail-Nachricht an den gezielten PC als ZIP-Datei verteilt behauptet, durch die geschickt wurden, “Windows-Korporation“.
Die ZIP-Datei, als PDF-Datei getarnt, enthält eine ausführbare Datei, in der die Rombertik versteckt.
Benutzer werden empfohlen, ihre Sicherheitslösung zu halten up-to-date und nie offen E-Mails oder Anhänge herunterladen, um Nachrichten aus unbekannten Quellen gesendet.