Rombertik başlıklı çok yeni bilgi çalan Truva Cisco araştırmacılar tarafından görülmüş. tehdit okuyup düz metin olarak web tarayıcısında kullanıcı tarafından yazılan veri kaydına. o kimse incelemek için çalışıyor algılarsa ne onun saldırgan davranıştır hakkında yazmaya değer Trojan yapar.
Nasıl Rombertik Çalışıyor?
Araştırmacılar benzer sofistike bir kötü amaçlı yazılımlar gibi Rombertik tarif Hayvan Bankacılık Truva. Rombertik hassas bilgileri toplamak için yeteneği vardır (örneğin giriş kimlik bilgileri) kurbanın tarayıcısından ve uzak sunucuya göndermek. İki tehditler arasındaki fark Rombertik kullanıcı tarafından ziyaret tüm web sayfaları veri hedeflemesidir.
Yükleme işleminin son aşamaları boyunca durumda, Truva analiz edilecek denemelerini tespit, onun ilk amacını düşer ve Master Boot Record üzerine yazarak kurbanın sabit diski imha etmeye başladı.
Cisco uzmanları başından Trojan gelen “Anti-analiz işlevselliği ile birlikte gizleme birkaç kat içerir.” Açıklamıştı
Rombertik en paketlenmemiş sürümü 28KB ve paketlenmiş tek - 1264KB. İkincisi kullanılmayan kalır sayısız fonksiyonları içerir. Analistler amaçları her birini ayrı ayrı analiz etmek amacıyla araştırmacının zaman harcamak olduğuna inanıyoruz.
Başta, Rombertik belleğe rastgele bilgilerin bir bayt yazar 960 araçlar ve kum havuzları izleme önlemek için milyon kere. En kısa sürede kötü amaçlı yazılımlar gibi kötü amaçlı görevleri yerine getiren değil, kum havuzu tetiklenmezler, ve analiz araçları yazma talimatı işleme ile meşgul olan.
Truva kendisini açar Önce, o analiz araçlarının varlığı için son bir kere kontrol. Nihai parçası, Sadece tehdit başlatılmadan önce, bu gerçek bir konudur.
Rombertik Final Dokunmatik - Anti-Analiz Özelliği
İşte Cisco'nun araştırmacılar Trojan nihai fonksiyonunu anlatırız:
“işlev, bellekte bir kaynağın 32 bit karma hesaplar ve paketten numunenin PE Derleme Zaman Damgası karşılaştırır. kaynak veya derleme zamanı değişiklikler olmuşsa, zararlı eylemleri yıkıcı. İlk Master Boot Record üzerine çalışır (MBR) PhysicalDisk0 arasında, hangi bilgisayarı çalışamaz hale getirir.”
durumda Rombertik MBR üzerine yazmak izin verilmez, Tehdit kurbanın ev klasöründeki dosyaları imha etmeye başladı. Rombertik rasgele oluşturulur bir RC4 anahtar ile dosyaların her şifreler.
En kısa sürede tüm dosyalar şifrelenir veya MBR yazılır olarak, tehlikeye makine yeniden başlatılır.
Ardından makine sistemi açmaya türlü girişimi engeller sonsuz döngüye girdi. İşletim sistemini yeniden yüklemek için ama kurban başka bir seçenek ile bırakılır.
Bu yazının anda, Rombertik tarafından gönderilmiş iddia eden bir spam e-posta mesajına ekli bir ZIP dosyası olarak hedeflenen PC'ye dağıtılır “, Windows Şirketi”.
ZIP dosyası, PDF dosyası olarak gizlenmiş, Rombertik gizlidir bir uygulama dosyası içeriyor.
Kullanıcılar yukarı güncel ve e-posta veya indirme ekleri asla açık bilinmeyen kaynaklardan gönderilen iletilere kendi güvenlik çözümü tutmak için tavsiye edilir.