Abo
  • Services:

Malware: Rombertik zerstört den MBR

Es ist eine außergewöhnlich destruktive Malware: Rombertik überschreibt den MBR eines Rechners, wenn ihr die Enttarnung droht. Bleibt Rombertik unentdeckt, greift es Eingaben im Browser ab.

Artikel veröffentlicht am ,
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren.
Die Malware Rombertik versucht seine Analyse mit unsinnigem Code zu erschweren. (Bild: Talos/Cisco)

Rombertik ist ein besonders fieses Malware-Exemplar: Droht seine Entdeckung, überschreibt es den Master Boot Record (MBR) und löscht damit die Partitionsinformationen eines Rechners. Funktioniert das nicht, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis unter Windows. Bleibt die Malware jedoch unentdeckt, klinkt sie sich über APIs gängiger Browser ein und greift Texteingaben ab. Die gesammelten Daten werden nach Base64 kodiert und unverschlüsselt an die Domain www.centozos.org.in versendet. Rombertik macht es selbst IT-Sicherheitsforschern schwer - mit viel unnützem Code.

Stellenmarkt
  1. Eckelmann AG, Wiesbaden
  2. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg

Die Forscher der Abteilung Talos bei Cisco hätten bei der Analyse von Rombertik einige Schwierigkeiten gehabt, schreiben sie in einem Blogeintrag. Über 97 Prozent der Malware besteht aus Bildern und über 8.000 überflüssigen Funktionen, die einerseits die Malware harmlos aussehen lassen sollen und andererseits Tracing-Werkzeuge bei ihrer Analyse überfordern. Rombertik schreibt beispielsweise 960 Millionen zufällige Daten in den Speicher, die, von Analysewerkzeugen protokolliert, mehrere hundert Gigabyte an Daten produzieren.

Zahlreiche Tarnversuche

Dass Rombertik so viele unnütze Daten in den Speicher schreibt, soll aber nicht dazu dienen, Tracing-Werkzeuge zu überfordern. Stattdessen versucht die Malware damit die Sandbox-Funktionen auszuhebeln. Eine gängige Methode für Malware aus einer abgeschotteten Umgebung auszubrechen, ist, sich selbst in den Schlafmodus zu versetzen, bis die Sandbox sich abschaltet und der Schadcode ungehindert auf das System zugreifen kann. Seitdem wurde die Funktionalität der verschiedenen Sandbox-Lösungen angepasst und sie reagieren auf solche Tricks. Rombertik versetzt sich aber nicht in den Schlafmodus, sondern verbringt stattdessen viel Zeit damit, wahllose und somit harmlose Daten zu generieren.

Anschließend führt Rombertik zahlreiche Checks durch, darunter auch das Durchsuchen der Prozessliste nach Textzeilen, die auf Analysewerkzeuge hinweisen könnten. Außerdem ruft die Malware mehrere hunderttausende Mal die Debugging-API von Windows auf, um seine Analyse zu erschweren. Erst dann installiert sich Rombertik ins Benutzerverzeichnis.

Rombertik hinterlässt einen unbrauchbaren Recher

Scheitert die Malware bei seinen Tests, überschreibt Rombertik nicht nur den MBR, sondern auch die Partitionstabelle, was eine Wiederherstellung zwar erschwert, aber nicht unmöglich macht. Besitzt die Schadsoftware nicht genügend Rechte, um den MBR zu überschreiben, verschlüsselt Rombertik sämtliche Dateien im Benutzerverzeichnis mit einem selbst generierten RC4-Schlüssel. Anschließend startet Rombertik den Rechner sofort neu.

Verbreitet wird Rombertik als E-Mail-Anhang. Die Schadsoftware ist als PDF getarnt, es handelt es sich aber um eine ausführbare Datei in Form eines Screensavers (SCR). Offenbar helfen sämtliche Verschleierungstaktiken aber nicht gegen aktuelle Antivirensoftware. Die Cisco-Experten raten, diese möglichst aktuell zu halten.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (nur für Prime-Mitglieder)
  3. (2 Monate Sky Ticket für nur 4,99€)

kosovafan 09. Mai 2015

Als wenn es dabei einen Unterschied gibt. Ach ja stimmt Verbrechen wurde erschaffen...

A312 09. Mai 2015

Es soll Menschen geben, die keine Nerds sind... Ich kenne sehr viele die mit...

quineloe 07. Mai 2015

Fällt meine seit 15 Jahren gepflegte Pornosammlung in dieser Überlegung unter Müll? Denn...

spYro 06. Mai 2015

In unserer Firma hatten wir letztens einen Virus, der alle Dokumente mit PDF, TXT, DOC...

MonMonthma 06. Mai 2015

Legacy MBR bei GPT ist nur dafür da, das alte Tools die GPT nicht Beherrschen, die...


Folgen Sie uns
       


Blackberry Key2 - Test

Das Blackberry Key2 überzeugte uns nicht im Test - trotz guter Tastatur.

Blackberry Key2 - Test Video aufrufen
Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

    •  /