Abo
  • Services:
Anzeige
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Malware: Rombertik zerstört den MBR

Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab.

Anzeige

Rombertik ist ein besonders fieses Malware-Exemplar: Droht seine Entdeckung, überschreibt es den Master Boot Record (MBR) und löscht damit die Partitionsinformationen eines Rechners. Funktioniert das nicht, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis unter Windows. Bleibt die Malware jedoch unentdeckt, klinkt sie sich über APIs gängiger Browser ein und greift Texteingaben ab. Die gesammelten Daten werden nach Base64 kodiert und unverschlüsselt an die Domain www.centozos.org.in versendet. Rombertik macht es selbst IT-Sicherheitsforschern schwer - mit viel unnützem Code.

Die Forscher der Abteilung Talos bei Cisco hätten bei der Analyse von Rombertik einige Schwierigkeiten gehabt, schreiben sie in einem Blogeintrag. Über 97 Prozent der Malware besteht aus Bildern und über 8.000 überflüssigen Funktionen, die einerseits die Malware harmlos aussehen lassen sollen und andererseits Tracing-Werkzeuge bei ihrer Analyse überfordern. Rombertik schreibt beispielsweise 960 Millionen zufällige Daten in den Speicher, die, von Analysewerkzeugen protokolliert, mehrere hundert Gigabyte an Daten produzieren.

Zahlreiche Tarnversuche

Dass Rombertik so viele unnütze Daten in den Speicher schreibt, soll aber nicht dazu dienen, Tracing-Werkzeuge zu überfordern. Stattdessen versucht die Malware damit die Sandbox-Funktionen auszuhebeln. Eine gängige Methode für Malware aus einer abgeschotteten Umgebung auszubrechen, ist, sich selbst in den Schlafmodus zu versetzen, bis die Sandbox sich abschaltet und der Schadcode ungehindert auf das System zugreifen kann. Seitdem wurde die Funktionalität der verschiedenen Sandbox-Lösungen angepasst und sie reagieren auf solche Tricks. Rombertik versetzt sich aber nicht in den Schlafmodus, sondern verbringt stattdessen viel Zeit damit, wahllose und somit harmlose Daten zu generieren.

Anschließend führt Rombertik zahlreiche Checks durch, darunter auch das Durchsuchen der Prozessliste nach Textzeilen, die auf Analysewerkzeuge hinweisen könnten. Außerdem ruft die Malware mehrere hunderttausende Mal die Debugging-API von Windows auf, um seine Analyse zu erschweren. Erst dann installiert sich Rombertik ins Benutzerverzeichnis.

Rombertik hinterlässt einen unbrauchbaren Recher

Scheitert die Malware bei seinen Tests, überschreibt Rombertik nicht nur den MBR, sondern auch die Partitionstabelle, was eine Wiederherstellung zwar erschwert, aber nicht unmöglich macht. Besitzt die Schadsoftware nicht genügend Rechte, um den MBR zu überschreiben, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis mit einem selbst generierten RC4-Schlüssel. Anschließend startet Rombertik den Rechner sofort neu.

Verbreitet wird Rombertik als E-Mail-Anhang. Die Schadsoftware ist als PDF getarnt, es handelt es sich aber um eine ausführbare Datei in Form eines Screensavers (SCR). Offenbar helfen sämtliche Verschleierungstaktiken aber nicht gegen aktuelle Antivirensoftware. Die Cisco-Experten raten, diese möglichst aktuell zu halten.


eye home zur Startseite
kosovafan 09. Mai 2015

Als wenn es dabei einen Unterschied gibt. Ach ja stimmt Verbrechen wurde erschaffen...

A312 09. Mai 2015

Es soll Menschen geben, die keine Nerds sind... Ich kenne sehr viele die mit...

quineloe 07. Mai 2015

Fällt meine seit 15 Jahren gepflegte Pornosammlung in dieser Überlegung unter Müll? Denn...

spYro 06. Mai 2015

In unserer Firma hatten wir letztens einen Virus, der alle Dokumente mit PDF, TXT, DOC...

MonMonthma 06. Mai 2015

Legacy MBR bei GPT ist nur dafür da, das alte Tools die GPT nicht Beherrschen, die...



Anzeige

Stellenmarkt
  1. Syna GmbH, Frankfurt am Main
  2. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  3. FILIADATA GmbH, Karlsruhe
  4. operational services GmbH & Co. KG, Frankfurt


Anzeige
Spiele-Angebote
  1. 15,99€
  2. (-43%) 23,99€
  3. (-50%) 19,99€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Mal ne dumme Gegenfrage:

    quasides | 07:13

  2. Re: 1Password Fake-News ?

    quasides | 06:36

  3. Re: Ausgerechnet Heiko Maas predigt Transparenz

    HerrLich | 06:36

  4. "Verantwortung der Anbieter für ihre Angebote...

    HerrLich | 06:31

  5. Re: Kompetenzbestie

    divStar | 05:37


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel