Rombertik: malware, který po detekování likviduje počítače
Cisco Talos Security Intelligence and Research Group v pondělí 4 dubna na svém blogu varovalo před novým druhem malwaru, který si hned z několika důvodů nepřejte mít ve svém počítači. Malware pojmenovaný jako Rombertik je navrhnut tak, aby za použití prohlížeče ukořistil veškeré vaše citlivé údaje v plaintextu ještě předtím, než se pomocí šifrovacích protokolů odešlou do pověřených rukou, což u takových malware není žádnou zvláštností.
schema činnosti programu (1)
Za pozornost ale stojí jakým způsobem a účinností se dokáže vyhnout odhalení všemi možnými běžně používanými zabezpečovacími technikami jakožto i statickou (je testován pouze strojový kód programu) a dynamickou (je testováno chování za běhu programu) analýzou, tak také i spuštění v sandboxu. V případě pozná-li Rombertik, pomocí řady dalších komplexních ověřovacích metod, že byl odhalen (porovnává podle 32bitové kopie, pak na základě svých práv zasáhne těmi snad nejdrastičtějšími způsoby. V tom lepším případě, že Rombertik nemá práva administrátora, zašifruje veškeré data zrovna přihlášeného uživatele náhodnými šifrovacími klíči. V tom horším případě po zašifrování dat ještě šáhne až na Master Boot Record (záznam ve kterém je kromě jiného také zavaděč operačního systému), který kompletně přepíše jediným zacykleným příkazem, který vypisuje na monitor větu „Carbon crack attempt, failed“. A co je nejhorší, to vše se vám může stát, když v nevinně vypadajícím emailu rozkliknete přílohu, tvářící se jako soubor formátu pdf.
V případě, že je malware detekován pokusí se napáchat co největší škody (2)
Zdroje obrázků použitých v článku:
miniatura: thesecurityblogger.com
(1) a (2): blogs.cisco.com
