Odborníci z Talos Group objevili nový zákeřný malware, který označili jako Rombertik. Pomocí reverzního inženýrství se jim podařilo zjistit jak funguje. Překvapilo je, jak hodně práce si jeho tvůrci dali se zabezpečením proti detekci.
Rombertik se šíří prostřednictvím phising. Dorazí vám email se zazipovanou přílohou. Po rozbalení vypadá jako dokument. Ve skutečnosti se však jedná o spustitelný .src soubor (dříve se používal pro spořiče obrazovky, dnes už máme režim spánku a další úsporné opatření). Pokud jej spustíte snaží se zjistit, jestli je v takzvaném sandbox (ochranný software vašeho počítače, mu nedovolí hned přístup k systému). Jestli zjistí, že není, tak se rozšifruje a nahraje na disk. Následně rozšifruje další svou část, která už obsahuje samotný škodlivý kód a nahradí některé své součástí. Jeho cílem je napadnout prohlížeč Internet Explorer, Google Chrome a Firefox. Z internetových prohlížečů pak získává nezašifrovaná data a posílá je pryč. Nejde po žádných konkrétních datech na rozdíl od většiny podobných malware.
Než se pustí do infiltrace prohlížečů, snaží se detekovat ochranný software vašeho počítače v paměti a zdali se jej nepokouší najít. Pokud ano, tak spustí ochranný mechanizmus, kdy napadne master boot record (MBR) a donutí počítač se restartovat. MBR má několik důležitých funkcí. Obsahuje záznam o operačním systému, který přebírá řízení po Bios. Také je v něm obsažena tabulka rozdělení disku a jeho číselný identifikátor. Výsledkem je, že operační systém nenajede a jediné co uvidí uživatel je Carbon crack attempt, failed. V případě, že nemá možnost zápisu do MBR, tak se pokusí zničit co možná nejvíce obsahu adresáře administrátora (příklad c:\Documents and Settings\Administrator\).
Mezi další zajímavé ochranné techniky je způsob jakým se dostává ze sandboxu. Běžně se snaží malware „usnout“ na určitou dobu a nejevit známky aktivity. Čas sandboxu mezitím vyprší. Rombertik místo toho začne generovat velké množství náhodných instrukcí do paměti. Toto opakuje celkem 960 milionkrát, čímž vytvoří tak velký objem dat, že by potenciální log soubor pro analýzu měl 100 GB. Běžnému disku by trvalo 25 minut do tohoto logu zapsat všechny instrukce. Což je dostatek času.
Rombertikje rozhodně zajímavý kus malware, který se vyznačuje svou agresivitou.
More from my site
Malware maskující se za chybějící font- Jak se dostane malware do mobilního telefonu
Jak poznat zavirovaný web
Počet útoků na telefony přes WhatsApp narůstá
Stagefright – největší zranitelnost v dějinách Android ohrožuje přes miliardu zařízení
600.000 uživatelů chtělo podvádět v Minecraft, teď musí čelit malware