Abo
  • Services:
Anzeige
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Malware: Rombertik zerstört den MBR

Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab.

Anzeige

Rombertik ist ein besonders fieses Malware-Exemplar: Droht seine Entdeckung, überschreibt es den Master Boot Record (MBR) und löscht damit die Partitionsinformationen eines Rechners. Funktioniert das nicht, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis unter Windows. Bleibt die Malware jedoch unentdeckt, klinkt sie sich über APIs gängiger Browser ein und greift Texteingaben ab. Die gesammelten Daten werden nach Base64 kodiert und unverschlüsselt an die Domain www.centozos.org.in versendet. Rombertik macht es selbst IT-Sicherheitsforschern schwer - mit viel unnützem Code.

Die Forscher der Abteilung Talos bei Cisco hätten bei der Analyse von Rombertik einige Schwierigkeiten gehabt, schreiben sie in einem Blogeintrag. Über 97 Prozent der Malware besteht aus Bildern und über 8.000 überflüssigen Funktionen, die einerseits die Malware harmlos aussehen lassen sollen und andererseits Tracing-Werkzeuge bei ihrer Analyse überfordern. Rombertik schreibt beispielsweise 960 Millionen zufällige Daten in den Speicher, die, von Analysewerkzeugen protokolliert, mehrere hundert Gigabyte an Daten produzieren.

Zahlreiche Tarnversuche

Dass Rombertik so viele unnütze Daten in den Speicher schreibt, soll aber nicht dazu dienen, Tracing-Werkzeuge zu überfordern. Stattdessen versucht die Malware damit die Sandbox-Funktionen auszuhebeln. Eine gängige Methode für Malware aus einer abgeschotteten Umgebung auszubrechen, ist, sich selbst in den Schlafmodus zu versetzen, bis die Sandbox sich abschaltet und der Schadcode ungehindert auf das System zugreifen kann. Seitdem wurde die Funktionalität der verschiedenen Sandbox-Lösungen angepasst und sie reagieren auf solche Tricks. Rombertik versetzt sich aber nicht in den Schlafmodus, sondern verbringt stattdessen viel Zeit damit, wahllose und somit harmlose Daten zu generieren.

Anschließend führt Rombertik zahlreiche Checks durch, darunter auch das Durchsuchen der Prozessliste nach Textzeilen, die auf Analysewerkzeuge hinweisen könnten. Außerdem ruft die Malware mehrere hunderttausende Mal die Debugging-API von Windows auf, um seine Analyse zu erschweren. Erst dann installiert sich Rombertik ins Benutzerverzeichnis.

Rombertik hinterlässt einen unbrauchbaren Recher

Scheitert die Malware bei seinen Tests, überschreibt Rombertik nicht nur den MBR, sondern auch die Partitionstabelle, was eine Wiederherstellung zwar erschwert, aber nicht unmöglich macht. Besitzt die Schadsoftware nicht genügend Rechte, um den MBR zu überschreiben, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis mit einem selbst generierten RC4-Schlüssel. Anschließend startet Rombertik den Rechner sofort neu.

Verbreitet wird Rombertik als E-Mail-Anhang. Die Schadsoftware ist als PDF getarnt, es handelt es sich aber um eine ausführbare Datei in Form eines Screensavers (SCR). Offenbar helfen sämtliche Verschleierungstaktiken aber nicht gegen aktuelle Antivirensoftware. Die Cisco-Experten raten, diese möglichst aktuell zu halten.


eye home zur Startseite
kosovafan 09. Mai 2015

Als wenn es dabei einen Unterschied gibt. Ach ja stimmt Verbrechen wurde erschaffen...

A312 09. Mai 2015

Es soll Menschen geben, die keine Nerds sind... Ich kenne sehr viele die mit...

quineloe 07. Mai 2015

Fällt meine seit 15 Jahren gepflegte Pornosammlung in dieser Überlegung unter Müll? Denn...

spYro 06. Mai 2015

In unserer Firma hatten wir letztens einen Virus, der alle Dokumente mit PDF, TXT, DOC...

MonMonthma 06. Mai 2015

Legacy MBR bei GPT ist nur dafür da, das alte Tools die GPT nicht Beherrschen, die...



Anzeige

Stellenmarkt
  1. Daimler AG, Berlin
  2. über InterSearch Executive Consultants GmbH & Co. KG, Rhein-Main-Gebiet
  3. adesso AG, Dortmund, Frankfurt am Main, Stuttgart, Köln, München
  4. Max-Planck-Institut für Plasmaphysik, Greifswald


Anzeige
Top-Angebote
  1. (mehr als 2.500 reduzierte Titel)
  2. (u. a. The Hateful 8, Der Marsianer, London Has Fallen, Kingsman, Avatar)
  3. (Rabattcode: MB10)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Gejammer

    s7evin | 00:01

  2. Re: "Wir bauen mehr Glasfaser als jeder andere...

    bombinho | 00:01

  3. Re: Da brauchts keine App....

    lestard | 23.01. 23:58

  4. Re: Wie soll man dann geschäftlich nach China reisen?

    486dx4-160 | 23.01. 23:58

  5. Re: Installiert Samsung ungefragt Anwendungen??

    Cok3.Zer0 | 23.01. 23:54


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel