Schadsoftware »Rombertik« - Reagiert bösartig auf Analyse-Versuche

Eine neue Schadsoftware versucht zu verhindern, dass sie durch Sicherheitstools analysiert wird.

von Georg Wieselsberger,
06.05.2015 14:30 Uhr

Die Schadsoftware Rombertik wird durch solche E-Mails verbreitet. (Bildquelle: Cisco)Die Schadsoftware Rombertik wird durch solche E-Mails verbreitet. (Bildquelle: Cisco)

Sicherheitsexperten bei Cisco haben eine neue Schadsoftware entdeckt, der sie den Namen »Rombertik« gegeben haben. Üblicherweise wird ein neu gefundener Virus oder Trojaner durch die Experten analysiert, damit dessen Funktionen erkannt und Gegenmaßnahmen getroffen werden können. Doch Rombertik wurde von seinen Programmierern so ausgestattet, dass die Schadsoftware in der Lage ist, Analyseversuche zu erkennen. Ist das der Fall, reagiert Rombertik auf mehrere Arten, die zu größeren Problemen führen können.

Eine Möglichkeit ist, dass Rombertik einfach den Master Boot Record (MBR) des Systems löscht und den Rechner neu startet. Das führt dann dazu, dass das System überhaupt nicht mehr booten kann. Sofern das nicht funktioniert, kann Rombertik die Daten des Systems mit mit einem zufällig erzeugten Key verschlüsseln und damit den Zugriff verhindern. Um die Sicherheitsexperten zu verwirren, bringt Rombertik auch noch eine Menge an sinnlosen Funktionen samt unbrauchbarem Code mit sich und versucht, Sicherheitstools durch das Schreiben zufälliger Bytes in den Arbeitsspeicher zu verwirren. In einer Sandbox der Ciscso-Experten war dies mehr als 960 Millionen Mal der Fall. Da Tools solche Funktionen loggen, wäre ein solches Logfile mehr als 100 GByte groß.

Eine derart bösartige Schadsoftware ist sehr selten, da dies dem eigentlichen Zweck widerspricht, sich in einem System heimlich einzunisten und langfristig Daten zu stehlen. Genau das ist auch die eigentliche Funktion von Rombertik, das Login-Informationen und persönliche Daten, die in Formulare auf Webseiten eingegeben werden, sammelt und dann über das Internet an die Hintermänner verschickt. Verteilt wird Rombertik über Spam und Phishing-Emails, in deren Anhängen sich die Schadsoftware versteckt, beispielsweise angebliche Geschäftsunterlagen. In einem manipulierten PDF oder Archiv steckt dann eine ausführbare Datei, die Rombertik installiert.

Quelle: Cisco


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...