Sicherheitsexperten bei Cisco haben eine neue Schadsoftware entdeckt, der sie den Namen »Rombertik« gegeben haben. Üblicherweise wird ein neu gefundener Virus oder Trojaner durch die Experten analysiert, damit dessen Funktionen erkannt und Gegenmaßnahmen getroffen werden können. Doch Rombertik wurde von seinen Programmierern so ausgestattet, dass die Schadsoftware in der Lage ist, Analyseversuche zu erkennen. Ist das der Fall, reagiert Rombertik auf mehrere Arten, die zu größeren Problemen führen können.
Eine Möglichkeit ist, dass Rombertik einfach den Master Boot Record (MBR) des Systems löscht und den Rechner neu startet. Das führt dann dazu, dass das System überhaupt nicht mehr booten kann. Sofern das nicht funktioniert, kann Rombertik die Daten des Systems mit mit einem zufällig erzeugten Key verschlüsseln und damit den Zugriff verhindern. Um die Sicherheitsexperten zu verwirren, bringt Rombertik auch noch eine Menge an sinnlosen Funktionen samt unbrauchbarem Code mit sich und versucht, Sicherheitstools durch das Schreiben zufälliger Bytes in den Arbeitsspeicher zu verwirren. In einer Sandbox der Ciscso-Experten war dies mehr als 960 Millionen Mal der Fall. Da Tools solche Funktionen loggen, wäre ein solches Logfile mehr als 100 GByte groß.
Eine derart bösartige Schadsoftware ist sehr selten, da dies dem eigentlichen Zweck widerspricht, sich in einem System heimlich einzunisten und langfristig Daten zu stehlen. Genau das ist auch die eigentliche Funktion von Rombertik, das Login-Informationen und persönliche Daten, die in Formulare auf Webseiten eingegeben werden, sammelt und dann über das Internet an die Hintermänner verschickt. Verteilt wird Rombertik über Spam und Phishing-Emails, in deren Anhängen sich die Schadsoftware versteckt, beispielsweise angebliche Geschäftsunterlagen. In einem manipulierten PDF oder Archiv steckt dann eine ausführbare Datei, die Rombertik installiert.
Quelle: Cisco
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.