Schwachstellen Fokus: rombertik Malware
Resolution
Der Verwundbarkeits Fokus dieser Woche liegt auf der neuen rombertik-Malware.
Diese Woche Sprachen viele IT-Sicherheits-Websites über eine neue Malware, die entdeckt wurde, die den Boot-Datensatz auf Ihrer Festplatte neu schreiben kann, um zu vermeiden, entdeckt zu werden. Das ist ziemlich extrem, wenn es darum geht, was Malware in der Lage ist, sich der Erkennung und Analyse zu entziehen.
Die Malware ist darauf ausgelegt, Daten über alles, was ein Opfer online tut, zu sammeln, und zwar wahllos, anstatt sich auf Bereiche wie Internet-Banking oder Social-Media-Accounts zu konzentrieren. Dies kann geschehen, nachdem Sie durch eine Phishing-Kampagne und/oder böswillige e-Mail-Anhänge in ein System geladen wurden.
Rombertik enthält viele Schichten von "Junk" im Code, der seinen wahren Zweck verbirgt. Es enthält auch Anti-Analyse-Funktionen. Die Malware versucht, mit 75 Bildern und über 8.000 Funktionen legitim auszusehen. Bei so vielen Funktionen versucht Sie, sich "im Rauschen" der anderen Funktionen zu verstecken, die versuchen, unauffällig zu erscheinen. Ein weiterer Schritt, den die Malware versucht, ist es, zufällige Informationen in den Speicher über 960 Millionen Mal zu schreiben, um alle Erkennungsmethoden zu stoppen. Es wird dann gesehen, ob ein eigener Code modifiziert wurde und eine Funktion 335.000 Mal als Anti-Debugging-Mechanismus aufrufen.
Nach der fertig, wird rombertik dann entschlüsseln und sich auf dem Computer eines Opfers installieren. Nach der Installation wird ein zweites Exemplar von sich selbst gestartet und mit der Kern Spionage-Funktion der Malware überschrieben.
Das Gift, das diese Malware enthält, ist, dass, wenn eine der Prüfungen für die Erkennung fehlschlägt, die Malware zerstörerisch wirkt. Es wird zunächst versucht, den Master-Boot-Record (MBR) von PhysicalDisk0 zu überschreiben, was den Computer inoperabel macht. Wenn die Malware keine Berechtigungen hat, den MBR zu überschreiben, wird Sie stattdessen alle Dateien im Home-Ordner des Benutzers zerstören (zum Beispiel: c:\-Dokumente und Settings\Administrator\), indem Sie jede Datei mit einem zufällig generierten RC4-Schlüssel verschlüsselt. Nachdem der MBR überschrieben ist oder der Home-Ordner verschlüsselt wurde, wird der Computer neu gestartet. Der MBR beginnt mit einem Code, der vor dem Betriebssystem ausgeführt wird. Der überschrieben MBR enthält Code, um "Carbon Crack Versuch, failed" auszudrucken, und betritt dann eine Endlosschleife, die verhindert, dass das System weiter startet.
Bis heute sind einige der Daten aufgelistet, die identifiziert wurden:
Dateinamen:
===========
%APPDATA%\rsr\yfoye.exe
%APPDATA%\rsr\yfoye.bat
Extern gemeldet (SHA256) Hash:
==================================
0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf
Palo Alto Networks Abdeckung:
============================
0b0f5fec222f83eb27ce5c8aba0d097cf514f261bef44643c7c4949b4dd81b7a
Malware
Virus/Win32. verdächtig
2852ff5b9239af9a231dafb7c907ae1f6ff9ae381c485f6429398c2236dbca09
Malware
Virus/Win32. verdächtig
32fa83e325603213a86c310d4fe46ef2288a3a47fabe5ea460b4090184da0bcd
Malware
Trojan-Spy/Win32. carbgrab. t
1542
5257d7d9eec5df287a8adc6f3ba2ce22c73c78c19046e1a0bddd2eb4b1b3ede2
Malware
Virus/Win32. verdächtig
55558031617f7e920b8a5083a1736480e6a4015a4051c92391342c15949b214f
Malware
VirTool/Win32. ceeinject
75531efbfefba9508bf57c600906b84136b2ea08cbaaebfd7ef76c870be6bad9
Unbekannt
Virus/Win32. verdächtig
c49110aac997896ee881ac057d9153ad20cdcf53672c65c591a68617c57af546
Malware
Malware/Win32. Emogen
Befehls-und Kontrollserver:
============================
www.centozos.org.in
Weitere Seiten, die dies Berichten:
Rombertik Malware wischt Festplatten, um die Erkennung zu verhindern | Zdnet:
http://Blogs.Cisco.com/Security/Talos/rombertik#conclusion
Schauen Sie zurück für Updates, da mehr Informationen über diese spezielle Malware verfügbar werden.
Vielen Dank für das Lesen und bleiben sicher,
Joe Delio