Foco de vulnerabilidad: Rombertik malware
Resolution
La vulnerabilidad de esta semana se centra en el nuevo malware Rombertik.
Esta semana muchos sitios web de seguridad de ti estaban hablando de un nuevo malware que se ha descubierto que puede volver a escribir el registro de arranque en su disco duro para evitar ser detectado. Esto es bastante extremo cuando se trata de lo que el malware es capaz de hacer para evadir la detección y el análisis.
El malware está diseñado para recopilar datos sobre todo lo que una víctima hace en línea, haciéndolo de una manera indiscriminada en lugar de centrarse en áreas como la banca por Internet o las cuentas de medios sociales. Esto puede ocurrir después de haber sido cargado en un sistema a través de una campaña de phishing y/o archivos adjuntos de correo malicioso.
Rombertik contiene muchas capas de "basura" en el código que esconde su verdadero propósito. También incluye funcionalidad anti-análisis. El malware intenta parecer legítimo con 75 imágenes y más de 8.000 funciones. Con tantas funciones, intenta "esconderse en el ruido" de las otras funciones que intentan parecer discretas. Otro paso que los intentos de malware, es escribir información aleatoria a la memoria de más de 960 millones veces con el fin de detener cualquier método de detección. A continuación, se busca ver si alguno de su propio código se ha modificado y se procede a llamar a una función de 335.000 veces como un mecanismo de anti-depuración.
Una vez completado, Rombertik se desencriptará e instalará en el ordenador de una víctima. Después de la instalación, una segunda copia de sí mismo se lanza y se sobrescribe con la funcionalidad de espionaje principal del malware.
El veneno que contiene este malware es que si alguna de las comprobaciones de detección falla, el malware actúa destructivamente. Primero intenta sobrescribir el registro de arranque maestro (MBR) de PhysicalDisk0, lo que hace que el equipo sea inoperable. Si el malware no tiene permisos para sobrescribir el MBR, en su lugar destruirá todos los archivos en la carpeta de inicio del usuario (por ejemplo: C:\Documents and Settings\Administrator\) cifrando cada archivo con una clave RC4 generada aleatoriamente. Una vez que se sobrescribe el MBR o se ha cifrado la carpeta de inicio, se reinicia el equipo. El MBR comienza con el código que se ejecuta antes del sistema operativo. El MBR sobrescrito contiene código para imprimir "intento de grieta de carbono, fallido", luego entra en un bucle infinito que impide que el sistema continúe arrancando.
A la fecha, a continuación se enumeran algunos de los datos que se han identificado:
Nombres de archivo:
===========
%AppData%\rsr\yfoye.exe
%AppData%\rsr\yfoye.bat
Hash reportado externamente (SHA256):
==================================
0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf
Cobertura de Palo Alto Networks:
============================
0b0f5fec222f83eb27ce5c8aba0d097cf514f261bef44643c7c4949b4dd81b7a
Malware
Virus/Win32. recelosos
2852ff5b9239af9a231dafb7c907ae1f6ff9ae381c485f6429398c2236dbca09
Malware
Virus/Win32. recelosos
32fa83e325603213a86c310d4fe46ef2288a3a47fabe5ea460b4090184da0bcd
Malware
Trojan-Spy/Win32. carbgrab. t
1542
5257d7d9eec5df287a8adc6f3ba2ce22c73c78c19046e1a0bddd2eb4b1b3ede2
Malware
Virus/Win32. recelosos
55558031617f7e920b8a5083a1736480e6a4015a4051c92391342c15949b214f
Malware
VirTool/Win32. ceeinject
75531efbfefba9508bf57c600906b84136b2ea08cbaaebfd7ef76c870be6bad9
Desconocido
Virus/Win32. recelosos
c49110aac997896ee881ac057d9153ad20cdcf53672c65c591a68617c57af546
Malware
Malware/Win32. emogen
Servidores de comando y control:
============================
www.centozos.org.in
Otros sitios que reportan esto:
Rombertik malware limpia las unidades de disco duro para evitar la detección | Zdnet:
http://blogs.Cisco.com/Security/Talos/rombertik#conclusion
Vuelva a comprobar las actualizaciones a medida que se disponga de más información sobre este malware en particular.
Gracias por leer y estar seguro,
Joe Delio