Abo
  • Services:
Anzeige
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Malware: Rombertik zerstört den MBR

Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab.

Anzeige

Rombertik ist ein besonders fieses Malware-Exemplar: Droht seine Entdeckung, überschreibt es den Master Boot Record (MBR) und löscht damit die Partitionsinformationen eines Rechners. Funktioniert das nicht, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis unter Windows. Bleibt die Malware jedoch unentdeckt, klinkt sie sich über APIs gängiger Browser ein und greift Texteingaben ab. Die gesammelten Daten werden nach Base64 kodiert und unverschlüsselt an die Domain www.centozos.org.in versendet. Rombertik macht es selbst IT-Sicherheitsforschern schwer - mit viel unnützem Code.

Die Forscher der Abteilung Talos bei Cisco hätten bei der Analyse von Rombertik einige Schwierigkeiten gehabt, schreiben sie in einem Blogeintrag. Über 97 Prozent der Malware besteht aus Bildern und über 8.000 überflüssigen Funktionen, die einerseits die Malware harmlos aussehen lassen sollen und andererseits Tracing-Werkzeuge bei ihrer Analyse überfordern. Rombertik schreibt beispielsweise 960 Millionen zufällige Daten in den Speicher, die, von Analysewerkzeugen protokolliert, mehrere hundert Gigabyte an Daten produzieren.

Zahlreiche Tarnversuche

Dass Rombertik so viele unnütze Daten in den Speicher schreibt, soll aber nicht dazu dienen, Tracing-Werkzeuge zu überfordern. Stattdessen versucht die Malware damit die Sandbox-Funktionen auszuhebeln. Eine gängige Methode für Malware aus einer abgeschotteten Umgebung auszubrechen, ist, sich selbst in den Schlafmodus zu versetzen, bis die Sandbox sich abschaltet und der Schadcode ungehindert auf das System zugreifen kann. Seitdem wurde die Funktionalität der verschiedenen Sandbox-Lösungen angepasst und sie reagieren auf solche Tricks. Rombertik versetzt sich aber nicht in den Schlafmodus, sondern verbringt stattdessen viel Zeit damit, wahllose und somit harmlose Daten zu generieren.

Anschließend führt Rombertik zahlreiche Checks durch, darunter auch das Durchsuchen der Prozessliste nach Textzeilen, die auf Analysewerkzeuge hinweisen könnten. Außerdem ruft die Malware mehrere hunderttausende Mal die Debugging-API von Windows auf, um seine Analyse zu erschweren. Erst dann installiert sich Rombertik ins Benutzerverzeichnis.

Rombertik hinterlässt einen unbrauchbaren Recher

Scheitert die Malware bei seinen Tests, überschreibt Rombertik nicht nur den MBR, sondern auch die Partitionstabelle, was eine Wiederherstellung zwar erschwert, aber nicht unmöglich macht. Besitzt die Schadsoftware nicht genügend Rechte, um den MBR zu überschreiben, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis mit einem selbst generierten RC4-Schlüssel. Anschließend startet Rombertik den Rechner sofort neu.

Verbreitet wird Rombertik als E-Mail-Anhang. Die Schadsoftware ist als PDF getarnt, es handelt es sich aber um eine ausführbare Datei in Form eines Screensavers (SCR). Offenbar helfen sämtliche Verschleierungstaktiken aber nicht gegen aktuelle Antivirensoftware. Die Cisco-Experten raten, diese möglichst aktuell zu halten.


eye home zur Startseite
kosovafan 09. Mai 2015

Als wenn es dabei einen Unterschied gibt. Ach ja stimmt Verbrechen wurde erschaffen...

A312 09. Mai 2015

Es soll Menschen geben, die keine Nerds sind... Ich kenne sehr viele die mit...

quineloe 07. Mai 2015

Fällt meine seit 15 Jahren gepflegte Pornosammlung in dieser Überlegung unter Müll? Denn...

spYro 06. Mai 2015

In unserer Firma hatten wir letztens einen Virus, der alle Dokumente mit PDF, TXT, DOC...

MonMonthma 06. Mai 2015

Legacy MBR bei GPT ist nur dafür da, das alte Tools die GPT nicht Beherrschen, die...



Anzeige

Stellenmarkt
  1. CG CAR-GARANTIE VERSICHERUNGS-AG, Freiburg im Breisgau
  2. LogPay Financial Services GmbH, Eschborn
  3. Deutsche Telekom AG, Bonn
  4. Dataport, Hamburg, Altenholz bei Kiel


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Mrs. MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

  1. Amd Naples

    honna1612 | 19:02

  2. Re: Was muss noch alles passieren?

    johnripper | 19:01

  3. Re: Gibt es schon!

    EWCH | 19:01

  4. Re: Ich fahre mit...

    Prypjat | 19:00

  5. Re: Langsam wird Musk verrückt

    WonderGoal | 18:59


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel