En ny informations trojanen dubbade Rombertik har setts av forskare vid Cisco. Hotet kan läsa och spela in alla data skrivs av användaren i webbläsaren i klartext. Vad gör det trojanska värt att skriva om är dess aggressiva beteende om den upptäcker att någon försöker att undersöka det.
Hur fungerar Rombertik Operate?
Forskarna beskriver Rombertik som en sofistikerad skadlig kod som liknar Animal Banking Trojan. Rombertik har förmågan att samla in känslig information (till exempel inloggningsuppgifter) från offrets webbläsare och skicka den till en fjärrserver. Skillnaden mellan de två hot är att Rombertik riktar data från alla webbsidor som besökts av användaren.
I fallet i hela de sista stegen i installationsprocessen, de trojanska detektera varje försök som skall analyseras, det droppar sitt ursprungliga syfte och börjar förstöra offrets hårddisk genom att skriva över Master Boot Record.
Cisco experter förklara att från början Trojan ”innehåller flera lager av förvirring tillsammans med anti-analysfunktioner.”
Rombertik s uppackade versionen är 28KB och packade en - 1264KB. Den senare innehåller många funktioner som förblir oanvända. Analytiker tror att deras syfte är att slösa forskarens tid för att analysera var och en av dem separat.
I början, Rombertik skriver ett byte av slumpmässig information i minnet 960 miljon gånger för att undvika spårning verktyg och sandlådor. Så snart malware inte utför några skadliga uppgifter, sandlådor är inte utlöses, och analysverktyg är alltför upptagen med att bearbeta skrivinstruktioner.
Innan trojanska packar sig, kontrollerar en sista gång för förekomst av analysverktyg. Det är den sista delen, strax innan hotet lanseras, det är den verkliga frågan.
Rombertik Final Touch - Anti-analys Feature
Här är hur Ciscos forskare förklara den slutliga funktionen hos Trojan:
“Funktionen beräknar en 32-bitars hash av en resurs i minnet och jämför den på PE Kompilera Tidsstämpel för den uppackade provet. Om resursen eller kompileringen har ändrats, malware agerar destruktivt. Den försöker först att skriva Master Boot Record (MBR) av PhysicalDisk0, vilket gör datorn obrukbar.”
Vid Rombertik inte tillåtet att skriva över MBR, hotet börjar förstöra filerna i offrets hemkatalog. Rombertik krypterar var och en av filerna med ett RC4 nyckel som slumpmässigt genereras.
Så snart alla filer är krypterade eller MBR skrivs över, den infekterade maskinen återstartas.
Då maskinen är fångad i en ändlös slinga som förhindrar varje försök att starta upp systemet. Offret är kvar med inget annat val än att installera om operativsystemet.
Vid tidpunkten för denna skrift, Rombertik distribueras till riktade PC som en ZIP-fil bifogad till ett spam e-postmeddelande som påstår sig ha skickats av “Windows Corporation”.
ZIP-fil, förklädd till en PDF-fil, innehåller en körbar fil där Rombertik är dolt.
Användare uppmanas att hålla sin säkerhetslösning up-to-date och aldrig öppna e-post eller ladda ned bilagor till meddelanden som skickas från okända källor.