Rombertik Malware löscht sich bei Entdeckung selbst - und die Festplatte gleich mit

Eine trickreich und aufwendig programmierte Schadsoftware sammelt Internetdaten von Nutzern. Und wenn sie bemerkt wird, schluckt sie eine digitale Zyankali-Pille.

Dumm gelaufen: Wenn die Rombertik-Schadsoftware glaubt, entdeckt worden zu sein, setzt sie sich selbst und die Festplatte außer Gefecht.
Cisco

Dumm gelaufen: Wenn die Rombertik-Schadsoftware glaubt, entdeckt worden zu sein, setzt sie sich selbst und die Festplatte außer Gefecht.


Sicherheitsforscher der Talos Group, einer Abteilung des Netzausrüsters Cisco Systems, haben eine Windows-Schadsoftware entdeckt, die mit großem Aufwand versucht, Spuren ihrer Aktivitäten zu verschleiern. "Rombertik", so nennen die Experten die Software, zeichnet alles auf, was ein Nutzer mit seinem Computer im Netz unternimmt. Glaubt sie entdeckt worden zu sein, macht sie die Festplatte des angegriffenen Computers unbrauchbar und zerstört sich so selbst.

Eine weitere Besonderheit des digitalen Schädlings ist, dass er es nicht nur auf Nutzername/Passwort-Kombinationen für Bankkonten abgesehen hat. Stattdessen zeichnet die Malware offenbar vollkommen ungefiltert alles auf, was der jeweilige Anwender mit dem infizierten Rechner im Internet unternimmt.

Der Verbreitungsweg ist nicht neu: Rombertik wird als E-Mail-Anhang von Spam- oder Phishing-Mails verteilt. Diese sind laut der Talos Group aber besonders geschickt aufgebaut, sodass Nutzer leicht getäuscht werden können. In einem Beispiel, das der Bericht zeigt, ahmt die infizierte Mail den Absender "Windows Corporation" nach.

Tarnung durch Löschen

Auffällig sei die aufwendige Tarnung, mit der der Schädling sich vor Erkennung zu schützen versucht. Sie arbeitet auf mehreren Ebenen: Startet ein Nutzer unwissentlich die Installation des Schädlings, analysiert Rombertik zuerst die Umgebung und prüft, ob er zum Beispiel in einer sogenannten "Sandbox"-Umgebung läuft, also einem isolierten Bereich des PC, der keinen Auswirkungen auf den Rest des Rechners hat. Antivirensoftware benutzt so etwas, um verdächtige Software zu analysieren.

Erst, wenn dies ausgeschlossen ist, installiert sich die Malware. Bevor sie ihre Arbeit aufnimmt, prüft sie erneut, ob sie von einen Virenscanner beobachtet wird. Falls ja, versucht sie, den sogenannten Master Boot Rekord auf der Festplatte des Rechners zu löschen, um ihn unbrauchbar zu machen. Wenn das nicht klappt, macht Rombertik alle Nutzerdaten auf der Startfestplatte des Computers unbrauchbar, indem er sie verschlüsselt und den PC dazu bringt, in eine Endlosschleife von Neustarts zu verfallen.

Verschleierung durch Ablenkung

Auch wenn es so weit nicht kommt, macht Rombertik Analysesoftware die Arbeit schwer: Um nicht aufzufallen, versteckt sich die Malware. Ist das 28 kB kleine Installationspaket ausgepackt, wird es 1264 kB groß und gaukelt 8000 Programmfunktionen vor. Diese werden zwar nicht genutzt, machen die Analyse aber extrem aufwendig.

Um sicherzustellen, dass das Programm nicht entdeckt wird, sollte es doch in einer Sandbox laufen, wendet es einen weiteren perfiden Trick an: Rombertik schreibt eine Datei von einem Byte in einen Speichersektor - 960 Millionen Mal. Allein durch die Protokollierung dieser Prozesse würde eine Protokolldatei von 100 Gigabyte Größe entstehen, so Talos.

Über die Verbreitung von Rombertik sagt der Bericht der Talos Group nichts aus. Nutzern kann man nur die üblichen Verhaltensempfehlungen geben, Links und Anhänge in E-Mails von unbekannten Absendern nicht anzuklicken und aktuelle Sicherheitssoftware zu nutzen.

abr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
Seite 1
montezuma09 05.05.2015
1. Nicht sehr fortschrittlich
Eine Schadsoftware, die sich per Mailanhang verteilt und vom User erst willentlich installiert werden muss, ist ja sowas von 90er. Und der Absender "Windows Corp." ist ja auch nicht wirklich überzeugend. Was soll das denn sein? Eine Schadsoftware, die den MBR der Fesplatte unbrauchbar machen will, sollte von jeder mittelmäßigen Antivirussoftware leicht erkannt und in ihrem Tun abgefangen werden. Das klingt für mich wie eine Variante des I-LOVE-YOU-Wurms, der gerade sein 15 jähriges Jubiläum feierte (Wer erinnert sich?). Da gibt es doch heutzutage ganz andere Kaliber an (z.T. staatlicher) Schadsoftware, die weitaus raffinierter und gefährlicher sind, wie z.B. stuxnet, duqu und ähnliches. Wer heute noch auf alles klickt was ihm per Mail unaufgefordert zugesandt wird und keinen brauchbaren Virenschutz auf dem (Windows-)Rechner hat, dem ist eh nicht zu helfen. in 9 von 10 Fällen sitzt doch das eigentliche Sicherheitsrisiko VOR dem Bildschirm und klickt stumpf auf "ok".
montezuma09 05.05.2015
2. Nicht sehr fortschrittlich
Eine Schadsoftware, die sich per Mailanhang verteilt und vom User erst willentlich installiert werden muss, ist ja sowas von 90er. Und der Absender "Windows Corp." ist ja auch nicht wirklich überzeugend. Was soll das denn sein? Eine Schadsoftware, die den MBR der Fesplatte unbrauchbar machen will, sollte von jeder mittelmäßigen Antivirussoftware leicht erkannt und in ihrem Tun abgefangen werden. Das klingt für mich wie eine Variante des I-LOVE-YOU-Wurms, der gerade sein 15 jähriges Jubiläum feierte (Wer erinnert sich?). Da gibt es doch heutzutage ganz andere Kaliber an (z.T. staatlicher) Schadsoftware, die weitaus raffinierter und gefährlicher sind, wie z.B. stuxnet, duqu und ähnliches. Wer heute noch auf alles klickt was ihm per Mail unaufgefordert zugesandt wird und keinen brauchbaren Virenschutz auf dem (Windows-)Rechner hat, dem ist eh nicht zu helfen. in 9 von 10 Fällen sitzt doch das eigentliche Sicherheitsrisiko VOR dem Bildschirm und klickt stumpf auf "ok".
felisconcolor 05.05.2015
3. Der scheint
sich auch ausserhalb von mails zu verbreiten. Das Verhalten zeigte mein PC vor ein paar Wochen auch. Neustart in Endlosschleife "NT-Administration/System hat einen Fehler festgestellt und startet neu" Bis zum St. Nimmerleinstag. Und fiel zeitlich ziemlich genau mit einem Zucken meines Antivirenprogramms zusammen. (Ich war grad mit dem Browser auf der SPON Seite) Ok war auch langsam Zeit für eine Generalreinigung.
Referendumm 05.05.2015
4. Hätte da auch was tolles ...
Zitat von montezuma09Eine Schadsoftware, die sich per Mailanhang verteilt und vom User erst willentlich installiert werden muss, ist ja sowas von 90er. Und der Absender "Windows Corp." ist ja auch nicht wirklich überzeugend. Was soll das denn sein? Eine Schadsoftware, die den MBR der Fesplatte unbrauchbar machen will, sollte von jeder mittelmäßigen Antivirussoftware leicht erkannt und in ihrem Tun abgefangen werden. Das klingt für mich wie eine Variante des I-LOVE-YOU-Wurms, der gerade sein 15 jähriges Jubiläum feierte (Wer erinnert sich?). Da gibt es doch heutzutage ganz andere Kaliber an (z.T. staatlicher) Schadsoftware, die weitaus raffinierter und gefährlicher sind, wie z.B. stuxnet, duqu und ähnliches. Wer heute noch auf alles klickt was ihm per Mail unaufgefordert zugesandt wird und keinen brauchbaren Virenschutz auf dem (Windows-)Rechner hat, dem ist eh nicht zu helfen. in 9 von 10 Fällen sitzt doch das eigentliche Sicherheitsrisiko VOR dem Bildschirm und klickt stumpf auf "ok".
Wissen Sie oder andere Leser etwas zum "Running tester support" (bei Windows) und das in Kombination mit den Dateien: H1aJ192.exe sowie H1aJ192.dll ? Finde diesbezüglich nichts per Suchmaschine - allein bei Eingabe von "H1aJ192" spuckt selbst google nichts aus - nieto, nitshivo. Das Ding soll sich in einem verstecktem Verzeichnis verbergen (C:\Dok..u...Einst\...\Lokale Einst...\Temp\\WER4d82.dir\H1aJ192.exe.mdmp und ist daher quasi nicht auffindbar. Virenprogramme geben keinen Alarm. Was macht dieses Ding an Schaden? Malware? Oder was? Wie entfernen?
GrinderFX 05.05.2015
5.
Zitat von montezuma09Eine Schadsoftware, die sich per Mailanhang verteilt und vom User erst willentlich installiert werden muss, ist ja sowas von 90er. Und der Absender "Windows Corp." ist ja auch nicht wirklich überzeugend. Was soll das denn sein? Eine Schadsoftware, die den MBR der Fesplatte unbrauchbar machen will, sollte von jeder mittelmäßigen Antivirussoftware leicht erkannt und in ihrem Tun abgefangen werden. Das klingt für mich wie eine Variante des I-LOVE-YOU-Wurms, der gerade sein 15 jähriges Jubiläum feierte (Wer erinnert sich?). Da gibt es doch heutzutage ganz andere Kaliber an (z.T. staatlicher) Schadsoftware, die weitaus raffinierter und gefährlicher sind, wie z.B. stuxnet, duqu und ähnliches. Wer heute noch auf alles klickt was ihm per Mail unaufgefordert zugesandt wird und keinen brauchbaren Virenschutz auf dem (Windows-)Rechner hat, dem ist eh nicht zu helfen. in 9 von 10 Fällen sitzt doch das eigentliche Sicherheitsrisiko VOR dem Bildschirm und klickt stumpf auf "ok".
Was ein Root-Kit ist wissen sie anscheinend nicht und ihre Anti-Viren-Software kann dagegen nichts ausrichten! Sie Experte sie!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.