Abo
  • Services:
Anzeige
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Malware: Rombertik zerstört den MBR

Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab.

Anzeige

Rombertik ist ein besonders fieses Malware-Exemplar: Droht seine Entdeckung, überschreibt es den Master Boot Record (MBR) und löscht damit die Partitionsinformationen eines Rechners. Funktioniert das nicht, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis unter Windows. Bleibt die Malware jedoch unentdeckt, klinkt sie sich über APIs gängiger Browser ein und greift Texteingaben ab. Die gesammelten Daten werden nach Base64 kodiert und unverschlüsselt an die Domain www.centozos.org.in versendet. Rombertik macht es selbst IT-Sicherheitsforschern schwer - mit viel unnützem Code.

Die Forscher der Abteilung Talos bei Cisco hätten bei der Analyse von Rombertik einige Schwierigkeiten gehabt, schreiben sie in einem Blogeintrag. Über 97 Prozent der Malware besteht aus Bildern und über 8.000 überflüssigen Funktionen, die einerseits die Malware harmlos aussehen lassen sollen und andererseits Tracing-Werkzeuge bei ihrer Analyse überfordern. Rombertik schreibt beispielsweise 960 Millionen zufällige Daten in den Speicher, die, von Analysewerkzeugen protokolliert, mehrere hundert Gigabyte an Daten produzieren.

Zahlreiche Tarnversuche

Dass Rombertik so viele unnütze Daten in den Speicher schreibt, soll aber nicht dazu dienen, Tracing-Werkzeuge zu überfordern. Stattdessen versucht die Malware damit die Sandbox-Funktionen auszuhebeln. Eine gängige Methode für Malware aus einer abgeschotteten Umgebung auszubrechen, ist, sich selbst in den Schlafmodus zu versetzen, bis die Sandbox sich abschaltet und der Schadcode ungehindert auf das System zugreifen kann. Seitdem wurde die Funktionalität der verschiedenen Sandbox-Lösungen angepasst und sie reagieren auf solche Tricks. Rombertik versetzt sich aber nicht in den Schlafmodus, sondern verbringt stattdessen viel Zeit damit, wahllose und somit harmlose Daten zu generieren.

Anschließend führt Rombertik zahlreiche Checks durch, darunter auch das Durchsuchen der Prozessliste nach Textzeilen, die auf Analysewerkzeuge hinweisen könnten. Außerdem ruft die Malware mehrere hunderttausende Mal die Debugging-API von Windows auf, um seine Analyse zu erschweren. Erst dann installiert sich Rombertik ins Benutzerverzeichnis.

Rombertik hinterlässt einen unbrauchbaren Recher

Scheitert die Malware bei seinen Tests, überschreibt Rombertik nicht nur den MBR, sondern auch die Partitionstabelle, was eine Wiederherstellung zwar erschwert, aber nicht unmöglich macht. Besitzt die Schadsoftware nicht genügend Rechte, um den MBR zu überschreiben, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis mit einem selbst generierten RC4-Schlüssel. Anschließend startet Rombertik den Rechner sofort neu.

Verbreitet wird Rombertik als E-Mail-Anhang. Die Schadsoftware ist als PDF getarnt, es handelt es sich aber um eine ausführbare Datei in Form eines Screensavers (SCR). Offenbar helfen sämtliche Verschleierungstaktiken aber nicht gegen aktuelle Antivirensoftware. Die Cisco-Experten raten, diese möglichst aktuell zu halten.


eye home zur Startseite
kosovafan 09. Mai 2015

Als wenn es dabei einen Unterschied gibt. Ach ja stimmt Verbrechen wurde erschaffen...

A312 09. Mai 2015

Es soll Menschen geben, die keine Nerds sind... Ich kenne sehr viele die mit...

quineloe 07. Mai 2015

Fällt meine seit 15 Jahren gepflegte Pornosammlung in dieser Überlegung unter Müll? Denn...

spYro 06. Mai 2015

In unserer Firma hatten wir letztens einen Virus, der alle Dokumente mit PDF, TXT, DOC...

MonMonthma 06. Mai 2015

Legacy MBR bei GPT ist nur dafür da, das alte Tools die GPT nicht Beherrschen, die...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. über Ratbacher GmbH, München
  3. Rems-Murr-Kliniken gGmbH, Winnenden
  4. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn


Anzeige
Top-Angebote
  1. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  2. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)
  3. Boomster 279,99€, Consono 35 MK3 5.1-Set 333,00€, Move BT 119,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Projekt Titan

    Apple will Anti-Kollisionssystem für Autos patentieren

  2. Visualisierungsprogramm

    Microsoft bringt Visio für iOS

  3. Auftragsfertiger

    TSMC investiert 16 Milliarden US-Dollar in neue Fab

  4. Frontier Developments

    Weltraumspiel Elite Dangerous erscheint auch für die PS4

  5. Apple

    MacOS 10.12.2 soll Probleme beim neuen Macbook Pro beheben

  6. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  7. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  8. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  9. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  10. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Kein Content, kein Plan wie es in Zukunft...

    zeldafan | 08:49

  2. Re: Bekommen dann Pornoprojekte auch die größte...

    genab.de | 08:49

  3. Re: Finde ich alles SUPER!

    DY | 08:47

  4. Re: Wäre ich HTC-Manager...

    ArnoNymous | 08:47

  5. Re: LG Hamburg...

    der_wahre_hannes | 08:46


  1. 08:48

  2. 08:00

  3. 07:43

  4. 07:28

  5. 07:15

  6. 18:02

  7. 16:46

  8. 16:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel