Rombertik το κακόβουλο λογισμικό που μπορεί να καταστρέφει τον υπολογιστή που έχει μολύνει

05. 05. 2015
Τελευταία ενημέρωση : 05 Μάιος 2015
Δημιουργήθηκε : 05 Μάιος 2015

hack security malware 100569441 galleryΟι ερευνητές της Cisco, Μπεν Μπέικερ και ο Άλεξ Chiu, βρήκαν ένα νέο malware που καταστρέφει την κύρια εγγραφή εκκίνησης (Masterbootrecord) και τους αρχικούς καταλόγους του σκληρού δίσκου του υπολογιστή εάν εντοπίσει προσπάθεια απενεργοποίησης του από άλλα προγράμματα – antivirus, malwareremovers.

Οι δυο ερευνητές αναφέρουν ότι το κακόβουλο λογισμικό Rombertik έχει σχεδιαστεί για να κλέβει τις πληκτρολογήσεις (keystrokes) και δεδομένα και στοχεύει σε χρήστες των Windows μέσω της μεθόδους του phishing.

Σε υψηλό επίπεδο, το Romberik είναι ένα σύνθετο κομμάτι κακόβουλου λογισμικού που έχει σχεδιαστεί για να συνδέετε στο πρόγραμμα περιήγησης του χρήστη (browser), να διαβάσει τα διαπιστευτήρια και άλλες ευαίσθητες πληροφορίες, ώστε να τις στέλνει σε ένα διακομιστή ελεγχόμενο από τον εισβολέα.

Πριν το Rombertik ξεκινήσει τη διαδικασία της κατασκοπείας του υπολογιστή που έχει μολύνει, το Rombertik θα εκτελέσει μία φορά τον τελευταίο έλεγχο για να βεβαιωθεί ότι δεν αναλύεται στη μνήμη [και, εάν ναι] θα προσπαθήσει να καταστρέψει την κύρια εγγραφή εκκίνησης (MBR) και θα επανεκκινήσει τον υπολογιστή για να τον αχρηστεύσει. Σε αυτή την περίπτωση εμφανίζει στην οθόνη το μήνυμα “Carbon crack attempt, failed.”.

Αν το Rombertik δεν μπορέσει να καταστρέψει το MBR και να στείλει τον υπολογιστή σε επαναλαμβανόμενες προσπάθειες επανεκκίνησης, τότε κρυπτογραφεί όλα τα αρχεία που βρίσκονται σε αρχικούς φακέλους στο δίσκο του υπολογιστή με τη χρήστη ενός τυχαίου κλειδιού κρυπτογράφησηςRC4.

Η καταστροφή είναι ιδιαίτερα ειδεχθή δεδομένου ότι οι περισσότεροι συγγραφείς κακόβουλων προγραμμάτων επιλέγουν να περιορίσουν την αυτοκαταστροφή στο δικό τους κακόβουλο λογισμικό, σε μια προσπάθεια για την εξάλειψη των αποδεικτικών στοιχείων που θα μπορούσαν να επιτρέψουν στους ερευνητές να προσδιορίσουν με ακρίβεια τον κώδικα του προγράμματος.

Το πρόγραμμα περιέχει και ένα μεγάλο μέρος από «κώδικα σκουπιδιών», συμπεριλαμβανομένων 75 εικόνες και 8000 λειτουργίες που δεν κάνουν τίποτα, αλλά υπάρχουν με σκοπό να μπερδεύει και να δυσκολεύει την ανάλυση του κώδικα από προγράμματα προστασίας του υπολογιστή.

Ένας από του τρόπους που ξεγελάει τα προγράμματα που προσπαθούν να τον αναλύσουν είναι το να γράφει ένα byte άχρηστων δεδομένων στη μνήμη 960 εκατομμύρια φορές. Αυτό εκτός από τον να καθυστερεί την ανάλυση έχει το πρόσθετο αποτέλεσμα τα αρχεία καταγραφής (logfiles) των προγραμμάτων ανίχνευσης να διογκώνονται και να φτάνουν έως και 100 gigabytes.