脆弱性の焦点: Rombertik マルウェア

今週の脆弱性の焦点は、新しい Rombertik マルウェアにあります。

今週、多くの IT セキュリティ web サイトが検出されていることを避けるために、ハードドライブ上のブートレコードを再書き込みすることができます発見した新しいマルウェアについて話していた。これは、マルウェアが検出と分析を回避するために行うことができるものになるとかなり極端です。

マルウェアは、被害者がオンラインで行うすべてのデータを収集するように設計されています, 無差別な方法ではなく、インターネットバンキングやソーシャルメディアアカウントなどの分野に焦点を当てて.これは、フィッシングキャンペーンや悪質な電子メールの添付ファイルを介してシステムに読み込まれた後に発生する可能性があります。

Rombertik には、その真の目的を隠蔽するコードに "ジャンク" の多くの層が含まれています。また、アンチ解析機能も含まれています。マルウェアは、75の画像と8000以上の関数で合法的に見えるようにしようとします。非常に多くの機能を使用すると、それは目立たないようにしようとして他の関数の "ノイズ" に非表示にしようとします。マルウェアの試みのもう一つのステップは、任意の検出方法を停止するために9億6000万回以上のメモリにランダムな情報を書き込むことです。次に、独自のコードのいずれかが変更されているかどうかを調べ、335000回の関数をアンチデバッグメカニズムとして呼び出すために進みます。

完了すると、Rombertik は復号化し、被害者のコンピュータに自分自身をインストールします。インストール後、それ自体の2番目のコピーが起動され、マルウェアのコアスパイ機能で上書き。

このマルウェアが含まれている毒は、検出のためのチェックのいずれかが失敗した場合、マルウェアが非破壊に動作するということです。最初に、PhysicalDisk0 のマスタブートレコード (MBR) を上書きしようとしますが、これはコンピュータを動作不能にします。マルウェアに MBR を上書きするアクセス許可がない場合は、ランダムに生成された RC4 キーを使用して各ファイルを暗号化することによって、ユーザーのホームフォルダ内のすべてのファイル (例: C:\Documents と Settings\Administrator\) を破棄します。MBR が上書きされた後、またはホームフォルダが暗号化された後、コンピュータが再起動されます。MBR は、オペレーティングシステムの前に実行されるコードで始まります。上書きされた MBR は、"カーボンクラックの試みをプリントアウトするコードが含まれています, 失敗しました", その後、ブートを継続してからシステムを防止する無限ループに入る.

現在までに、次に示すのは、特定されたデータの一部です。

ファイル名:

===========

%AppData%\rsr\yfoye.exe

%AppData%\rsr\yfoye.bat

外部から報告された (SHA256) ハッシュ:

==================================

0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf

パロアルトネットワークカバレッジ:

============================

0b0f5fec222f83eb27ce5c8aba0d097cf514f261bef44643c7c4949b4dd81b7a

マルウェア

ウイルス/Win32. 不審な

2852ff5b9239af9a231dafb7c907ae1f6ff9ae381c485f6429398c2236dbca09

マルウェア

ウイルス/Win32. 不審な

32fa83e325603213a86c310d4fe46ef2288a3a47fabe5ea460b4090184da0bcd

マルウェア

Trojan-Spy/Win32. carbgrab

1542

5257d7d9eec5df287a8adc6f3ba2ce22c73c78c19046e1a0bddd2eb4b1b3ede2

マルウェア

ウイルス/Win32. 不審な

55558031617f7e920b8a5083a1736480e6a4015a4051c92391342c15949b214f

マルウェア

例と/Win32 ceeinject

75531efbfefba9508bf57c600906b84136b2ea08cbaaebfd7ef76c870be6bad9

不明

ウイルス/Win32. 不審な

c49110aac997896ee881ac057d9153ad20cdcf53672c65c591a68617c57af546

マルウェア

マルウェア/Win32 emogen

コマンドアンドコントロールサーバー:

============================

www.centozos.org.in

これを報告する他のサイト:

Rombertik マルウェアは、検出を防ぐためにハードドライブを拭く |Zdnet：

https://urldefense.proofpoint.com/v2/url?u=http-3A__www.zdnet.com_article_rombertik-2Dmalware-2Dwipes-2Dhard-2Ddrives-2Dto-2Dprevent-2Ddetection_-23ftag-3DRSSbaffb68&d=AwMFaQ&c=V9IgWpI5PvzTw83UyHGVSoW3Uc1MFWe5J8PTfkrzVSo&r =0I0_kl2GeqbypADwJker9-SOsOyKcodHPzPTrAmEt38 & m = x4bmMr1gP9rDoaCPsx1DfXcLx1STQG56fvGr7QoeqW8 & s = MEIPxrbeesewfEgTX7sAnbM6SIVI257N2hrR7ApkEIk & e =

http://blogs.cisco.com/security/talos/rombertik#conclusion

より多くの情報がこの特定の malware で利用できるようになるので更新のために戻って調べてください。

読んで、安全に滞在してくれてありがとう

デリオ ・ ジョー