image (47)

A vírusírók módszerei egyre kifinomultabbak, és az új malware-ek hihetetlen rombolást végezhetnek számítógépünkön. A Cisco Talos csapatának (Talos Group) kutatói egy új és igen veszélyes malware-ről számoltak be a blogjukon. A Rombertiknek elnevezett kártevő, ha észreveszi, hogy kutatnak utána, öngyilkos merényletet indít az áldozat számítógépe ellen.

Önmagában a Rombertik nem is különbözik tucatnyi más malware-től: megpróbálja megszerezni a felhasználó online adatait, jelszó/felhasználói név párosokat, hitelkártyaszámokat stb., és ezeket azután továbbküldi egy szerverre. Még az sem különbözteti meg sok egyéb károkozótól, hogy mindent megtesz saját álcázása érdekében, azonban ezt a tevékenységét az eddigieknél magasabb szintre helyezi.

Amikor felkerül a számítógépre, kicsomagolja magát, és az így kapott tartalom 97 százaléka 75 képet és 8000 olyan funkciót tartalmaz, amit sohasem használ a malware. A rosszindulatú rész számos álcázó technikát bevet, például ellenőrzi, hogy nem sandboxban futtatják-e, illetve véletlenszerű bájtokat ír 960 millió alkalommal a memóriába (ha ennyi írási utasítást elemeznének, akkor a naplófájl több mint 100 GB-os lenne).

Ha viszont érzi a vesztét, azaz, hogy megpróbálják elemezni, először a Master Boot Recordot (a merevlemez partíciós szektorát) igyekszik tönkretenni a partíciós adatok felülírásával, és ha ezt valamilyen oknál fogva nem tudja megtenni, akkor a felhasználó mappájában lévő valamennyi fájlt véletlenszerű RC4 kulccsal titkosítja. Ezután már a gépet sem lehet újraindítani, és a kártevő még arról is gondoskodik, hogy a Windows újratelepítése is problémákba ütközzön.

Ami a Rombertiket igazán félelmetessé teszi, az a kettőssége: egy nem különösen jól megírt adathalász technikát egyesít egy elképesztően magas szintű álcázási technikával – vannak, akik úgy vélik, eredetileg állami szereplők ellen készült, és most kerül be a mindennapokba.

A Rombertik elsősorban e-mailek csatolmányaként terjed, így ha el akarjuk kerülni, még véletlenül se nyissunk meg olyan mail-csatolmányt, amelyről nem tudjuk, kitől érkezik.

Forrás: HVG
Fotó: Cisco Talos Group

Galéria
  • image (47)
2015. május 7. 13:26 | Biztonságos internetezés, Haladó, Kezdő