סוס טרויאני חדש גניבה-מידע המדובב Rombertik כבר זוהה ע"י חוקרי סיסקו. האיום יכול לקרוא ולהקליט את כל הנתונים שהוקלדו על ידי המשתמש בדפדפן האינטרנט בטקסט רגיל. מה שהופך את טרויאני ששווה לכתוב עליו היא התנהגות תוקפנית, אם הוא מזהה שמישהו מנסה לבחון אותו.
כיצד פועל Rombertik Operate?
החוקרים מתארים Rombertik כמו תוכנות זדוניות מתוחכמות דומות Animal בנקאות טרויאני. Rombertik יש את היכולת לאסוף מידע רגיש (עבור אישורי כניסה לדוגמה) מן דפדפן הקורבן ולשלוח אותו לשרת מרוחק. ההבדל בין שני האיומים הוא Rombertik מטרות נתונים מכל דפי האינטרנט בקרו על ידי המשתמש.
במקרה ברחבי הצעדים האחרונים של תהליך ההתקנה, טרויאני לזהות כל ניסיון לנתח, זה מפיל המטרה הראשונית שלו ומתחיל להרוס את הדיסק הקשיח של הקורבן על ידי כתיבה על רשומת האתחול.
מומחי סיסקו להסביר כי מן טרויאני ההתחלה "משלב מספר שכבות של ערפול יחד עם פונקציונליות אנטי-ניתוח."
גרסת פרק של Rombertik היא 28KB ואת הארוז אחד - 1264KB. זה האחרון מכיל פונקציות רבות שנותרו ללא שימוש. אנליסטים מאמינים כי המטרה שלהם היא לבזבז את הזמן של החוקר על מנת לנתח כל אחד מהם בנפרד.
בתחילה, Rombertik כותב בייט אחד של מידע אקראי זיכרון 960 מ'פעמים על מנת למנוע התחקות כלי ארגזי חול. ברגע הזדוניות אינו מתפקד כל משימות זדוניות, ארגזי חול אינם מופעלים, וכלים לניתוח עסוקים מדי עם עיבוד הוראות הכתיבה.
לפני טרויאני פורקת את עצמה, הוא בודק בפעם האחרונה עבור הנוכחות של כלי ניתוח. זהו החלק האחרון, רק לפני האיום יוצא לדרך, כי הוא הבעיה האמיתית.
המגע הסופי של Rombertik - תכונת Anti-הניתוח
הנה כמה חוקרים של סיסקו להסביר את הפונקציה הסופית של טרויה:
“פונקצית מחשבת חשיש 32 סיבי של משאב להזכר ומשווה אותה חותמת PE לקמפל של המדגם פרק. אם המשאב או בזמן ההידור השתנה, המעשים הזדוניים באופן הרסני. הוא מנסה תחילה להחליף את רשומת האתחול (MBR) של PhysicalDisk0, אשר הופך את המחשב לבלתי שמיש.”
במקרה Rombertik אינו רשאי להחליף את ה- MBR, האיום מתחיל להרוס את הקבצים בתיקיית הבית של הקורבן. Rombertik מצפין כל אחד מהקבצים עם מפתח RC4 שנוצר באקראי.
ברגע שכל הקבצים מוצפנים או MBR נמחק, מכונת הנפגעת מופעלת מחדש.
ואז המכונה נלכד בלולאה אינסופית שמונעת כל ניסיון לבצע אתחול המערכת. הקורבן נותר ברירה אחרת אלא כדי להתקין מחדש את מערכת ההפעלה.
ברגע כתיבת שורות אלה, Rombertik מופץ על המחשב הממוקד כקובץ ZIP מצורף הודעה בדוא"ל זבל טוען נשלח על ידי “Windows Corporation".
קובץ ZIP, במסווה של קובץ PDF, מכיל קובץ הפעלה שבו Rombertik מוסתר.
מומלצים למשתמשים לשמור פתרון האבטחה שלהם עַדכָּנִי ולעולם פתוחים אימיילים או להוריד קבצים המצורפים להודעות שנשלחו ממקור לא ידוע.