Vulnérabilité Focus: Rombertik Malware
Resolution
La vulnérabilité de cette semaine se focalise sur le nouveau malware Rombertik.
Cette semaine, de nombreux sites Web de sécurité informatique parlaient d'un nouveau malware qui a été découvert qui peut ré-écrire l'enregistrement de démarrage sur votre disque dur pour éviter d'être détecté. C'est assez extrême quand il s'agit de ce malware est capable de faire pour échapper à la détection et l'analyse.
Le malware est conçu pour collecter des données sur tout ce qu'une victime fait en ligne, ce faisant d'une manière aveugle plutôt que de se concentrer sur des domaines tels que les banques Internet ou les comptes des médias sociaux. Cela peut se produire après avoir été chargé dans un système via une campagne de phishing et/ou des pièces jointes malveillantes.
Rombertik contient plusieurs couches de "junk" dans le code qui cache son vrai but. Il inclut également la fonctionnalité d'anti-analyse. Le malware tente de paraître légitime avec 75 images et plus de 8 000 fonctions. Avec tant de fonctions, il tente de «se cacher dans le bruit» des autres fonctions essayant d'apparaître discrète. Une autre étape du malware tentatives, est d'écrire des informations aléatoires à la mémoire de plus de 960 millions fois afin de décrocher toutes les méthodes de détection. Il cherche ensuite à voir si l'un de ses propres code a été modifié et procède à appeler une fonction 335 000 fois comme un mécanisme d'anti-débogage.
Une fois terminé, Rombertik se décryptera et s'installera sur l'ordinateur d'une victime. Après l'installation, une deuxième copie de lui-même est lancé et écrasé avec la fonctionnalité de base du Malware espionnage.
Le venin que ce malware contient, c'est que si l'un des contrôles de la détection échoue, le malware agit de destructive. Il tente d'abord de remplacer le MBR (Master Boot Record) de PhysicalDisk0, ce qui rend l'ordinateur inopérable. Si le malware ne dispose pas des autorisations nécessaires pour écraser le MBR, il détruira à la place tous les fichiers du dossier d'accueil de l'utilisateur (par exemple: C:\Documents and administrateur) en cryptant chaque fichier avec une clé RC4 générée aléatoirement. Une fois le MBR écrasé, ou le dossier de départ a été chiffré, l'ordinateur est redémarré. Le MBR commence par le code qui est exécuté avant le système d'exploitation. Le MBR écrasé contient du code pour imprimer "tentative de crack de carbone, a échoué", puis entre dans une boucle infinie empêchant le système de continuer à démarrer.
À ce jour, voici quelques-unes des données qui ont été identifiées:
Noms de fichiers:
===========
%AppData%\rsr\yfoye.exe
%AppData%\rsr\yfoye.bat
Hachage signalé de manière externe (SHA256):
==================================
0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf
Palo Alto Networks couverture:
============================
0b0f5fec222f83eb27ce5c8aba0d097cf514f261bef44643c7c4949b4dd81b7a
Malware
Virus/Win32. suspect
2852ff5b9239af9a231dafb7c907ae1f6ff9ae381c485f6429398c2236dbca09
Malware
Virus/Win32. suspect
32fa83e325603213a86c310d4fe46ef2288a3a47fabe5ea460b4090184da0bcd
Malware
Trojan-Spy/Win32. carbgrab. t
1542
5257d7d9eec5df287a8adc6f3ba2ce22c73c78c19046e1a0bddd2eb4b1b3ede2
Malware
Virus/Win32. suspect
55558031617f7e920b8a5083a1736480e6a4015a4051c92391342c15949b214f
Malware
VirTool/Win32. ceeinject
75531efbfefba9508bf57c600906b84136b2ea08cbaaebfd7ef76c870be6bad9
Inconnu
Virus/Win32. suspect
c49110aac997896ee881ac057d9153ad20cdcf53672c65c591a68617c57af546
Malware
Malware/Win32. emogen
Serveurs de commande et de contrôle:
============================
www.centozos.org.in
Autres sites déclarant ceci:
Rombertik Malware lingettes disques durs pour empêcher la détection | Zdnet:
http://blogs.Cisco.com/Security/Talos/rombertik#conclusion
Revenez pour les mises à jour comme plus d'informations devient disponible sur ce malware particulier.
Merci pour la lecture et de rester en sécurité,
Joe Delio