Rombertik: malware, který po detekování likviduje počítače

Zpravodajství Software Rombertik: malware, který po detekování likviduje počítače

Cisco Talos Security Intelligence and Research Group v pondělí 4 dubna na svém blogu varovalo před novým druhem malwaru, který si hned z několika důvodů nepřejte mít ve svém počítači. Malware pojmenovaný jako Rombertik je navrhnut tak, aby za použití prohlížeče ukořistil veškeré vaše citlivé údaje v plaintextu ještě předtím, než se pomocí šifrovacích protokolů odešlou do pověřených rukou, což u takových malware není žádnou zvláštností.

schema

schema činnosti programu (1)

Za pozornost ale stojí jakým způsobem a účinností se dokáže vyhnout odhalení všemi možnými běžně používanými zabezpečovacími technikami jakožto i statickou (je testován pouze strojový kód programu) a dynamickou (je testováno chování za běhu programu) analýzou, tak také i spuštění v sandboxu. V případě pozná-li Rombertik, pomocí řady dalších komplexních ověřovacích metod, že byl odhalen (porovnává podle 32bitové kopie, pak na základě svých práv zasáhne těmi snad nejdrastičtějšími způsoby. V tom lepším případě, že Rombertik nemá práva administrátora, zašifruje veškeré data zrovna přihlášeného uživatele náhodnými šifrovacími klíči. V tom horším případě po zašifrování dat ještě šáhne až na Master Boot Record (záznam ve kterém je kromě jiného také zavaděč operačního systému), který kompletně přepíše jediným zacykleným příkazem, který vypisuje na monitor větu „Carbon crack attempt, failed“. A co je nejhorší, to vše se vám může stát, když v nevinně vypadajícím emailu rozkliknete přílohu, tvářící se jako soubor formátu pdf.

screen

V případě, že je malware detekován pokusí se napáchat co největší škody (2)

Zdroje obrázků použitých v článku:
miniatura: thesecurityblog­ger.com
(1) a (2): blogs.cisco.com


 

  Aktivity (1)

Zprávu pro vás napsal Gabriel Mastný 5.5.2015 23:44
Avatar

Miniatura
Všechny články v sekci
Zprávy ze světa softwaru

 

 

Komentáře
Zobrazit starší komentáře (25)

Avatar
Matúš Petrofčík
Šéfredaktor
Avatar
Matúš Petrofčík:

Tak Rambertik alebo Rombertik? :D A ako to že zlé veci dostávajú také pekné mená? :D

Odpovědět  +2 6.5.2015 19:33
obsah kocky = r^2 ... a preto vlak drnká
Avatar
Marek Z.
Redaktor
Avatar
Marek Z.:

Nedávnou koloval Steamem útok pomocí neškodného obrázku, samozřejmě po jeho otevření. Spočívalo to v tom, že infikovaný klient nevědomky posílal odkazy svým přátelům a ti když na něj klikly tak většinou se obrázek otevřel v prohlížeči a už byl také infikovaný. Já měl tu kliku, že se mi obrázek pouze stáhl a neotevřel jsem ho, protože jsem tušil a zeptal se dotyčného co to přesně je.

Jak psal richard, přidat škodlivý kód jde opravdu téměř do všeho, i do prostého textu jak zmínil, četl jsem o takových případech (kdysi)..

Avšak nebezpečná příloha v podobě PDF, je opravdu zastaralá věc..

Odpovědět  +2 6.5.2015 22:35
Chybami se člověk učí, běžte se učit jinam!
Avatar
Gabriel Mastný
Redaktor
Avatar
Odpovědět  +1 7.5.2015 22:10
Where there's will, there's way.
Avatar
pracansky
Člen
Avatar
pracansky:

Vir v pdf být může stejně jako v jakémkoli jiném souboru. Ke své funkci ale musí využívat chybu prohlížeče která umožní jeho spuštění. Speciálně u Adobe produktů je to naprosto reálný problém.

 
Odpovědět  +2 8.5.2015 11:08
Avatar
Neaktivní uživatel:

souhls,vir jde dát do všeho,vše je v podstatě binární zápis,koncovky jako .exe .mp3 .jpg .png .3ds jsou pouze pro rozlišení,aby počítač věděl jak má soubor číst...když máš třeba shoot.mp3 můžeš to vpoho přepsat na shoot.vaw a půjde to přečíst i tak,jelikož je oboje zvuk dá se přečíst stejným způsobem ;)

Odpovědět  -3 17.6.2015 22:39
Neaktivní uživatelský účet
Avatar
Richard
Člen
Avatar
Odpovídá na Neaktivní uživatel
Richard:

Jojo, to je přece logický. A navíc přejmenováním na wav se zvýší kvalita zvuku!! :-D

Odpovědět  +3 17.6.2015 22:55
$action = $_GET['Life']; | Když dáš mínus, napiš proč!
Avatar
Dominik Gavrecký:

Mňa celkom udivuje tvrdohlavosť uživateľa... Myslíš si že keby sa dalo hackovať len cez určite typy súborov tak by to blokli a bolo by po probleme. Virus môžeš kľudne schovať aj do obyčajného jpg. A to že to nevieš to neznamená že sa to nedá.

Odpovědět 17.6.2015 23:02
Hlupák nie je ten kto niečo nevie, hlupákom sa stávaš v momente keď sa na to bojíš opýtať.
Avatar
Martin Dráb
Redaktor
Avatar
Martin Dráb:

Také asi stojí za zmínku diskuze v tomto vlákně:
http://www.kernelmode.info/…iewtopic.php?…

Je to také trošku pohled na to, co je to analýza a "analýza".

Odpovědět 17.6.2015 23:43
2 + 2 = 5 for extremely large values of 2
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na Martin Dráb
David Novák:

Díky!

Dobře jsem se zasmál.. :D

Odpovědět 18.6.2015 0:43
Chyba je mezi klávesnicí a židlí.
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na David Novák
Martin Dráb:

Díky! Dobře jsem se zasmál..

Jojo, když je EP_X0FF v náladě, tak to vždycky stojí za to :-).

Odpovědět 18.6.2015 0:45
2 + 2 = 5 for extremely large values of 2
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 35. Zobrazit vše