Rombertik Malware löscht sich bei Entdeckung selbst - und die Festplatte gleich mit

Eine trickreich und aufwendig programmierte Schadsoftware sammelt Internetdaten von Nutzern. Und wenn sie bemerkt wird, schluckt sie eine digitale Zyankali-Pille.
Dumm gelaufen: Wenn die Rombertik-Schadsoftware glaubt, entdeckt worden zu sein, setzt sie sich selbst und die Festplatte außer Gefecht.

Dumm gelaufen: Wenn die Rombertik-Schadsoftware glaubt, entdeckt worden zu sein, setzt sie sich selbst und die Festplatte außer Gefecht.

Foto: Cisco

Sicherheitsforscher der Talos Group, einer Abteilung des Netzausrüsters Cisco Systems, haben eine Windows-Schadsoftware entdeckt , die mit großem Aufwand versucht, Spuren ihrer Aktivitäten zu verschleiern. "Rombertik", so nennen die Experten die Software, zeichnet alles auf, was ein Nutzer mit seinem Computer im Netz unternimmt. Glaubt sie entdeckt worden zu sein, macht sie die Festplatte des angegriffenen Computers unbrauchbar und zerstört sich so selbst.

Eine weitere Besonderheit des digitalen Schädlings ist, dass er es nicht nur auf Nutzername/Passwort-Kombinationen für Bankkonten abgesehen hat. Stattdessen zeichnet die Malware offenbar vollkommen ungefiltert alles auf, was der jeweilige Anwender mit dem infizierten Rechner im Internet unternimmt.

Der Verbreitungsweg ist nicht neu: Rombertik wird als E-Mail-Anhang von Spam- oder Phishing-Mails verteilt. Diese sind laut der Talos Group aber besonders geschickt aufgebaut, sodass Nutzer leicht getäuscht werden können. In einem Beispiel, das der Bericht zeigt, ahmt die infizierte Mail den Absender "Windows Corporation" nach.

Tarnung durch Löschen

Auffällig sei die aufwendige Tarnung, mit der der Schädling sich vor Erkennung zu schützen versucht. Sie arbeitet auf mehreren Ebenen: Startet ein Nutzer unwissentlich die Installation des Schädlings, analysiert Rombertik zuerst die Umgebung und prüft, ob er zum Beispiel in einer sogenannten "Sandbox"-Umgebung  läuft, also einem isolierten Bereich des PC, der keinen Auswirkungen auf den Rest des Rechners hat. Antivirensoftware benutzt so etwas, um verdächtige Software zu analysieren.

Erst, wenn dies ausgeschlossen ist, installiert sich die Malware. Bevor sie ihre Arbeit aufnimmt, prüft sie erneut, ob sie von einen Virenscanner beobachtet wird. Falls ja, versucht sie, den sogenannten Master Boot Rekord  auf der Festplatte des Rechners zu löschen, um ihn unbrauchbar zu machen. Wenn das nicht klappt, macht Rombertik alle Nutzerdaten auf der Startfestplatte des Computers unbrauchbar, indem er sie verschlüsselt und den PC dazu bringt, in eine Endlosschleife von Neustarts zu verfallen.

Verschleierung durch Ablenkung

Auch wenn es so weit nicht kommt, macht Rombertik Analysesoftware die Arbeit schwer: Um nicht aufzufallen, versteckt sich die Malware. Ist das 28 kB kleine Installationspaket ausgepackt, wird es 1264 kB groß und gaukelt 8000 Programmfunktionen vor. Diese werden zwar nicht genutzt, machen die Analyse aber extrem aufwendig.

Um sicherzustellen, dass das Programm nicht entdeckt wird, sollte es doch in einer Sandbox laufen, wendet es einen weiteren perfiden Trick an: Rombertik schreibt eine Datei von einem Byte in einen Speichersektor - 960 Millionen Mal. Allein durch die Protokollierung dieser Prozesse würde eine Protokolldatei von 100 Gigabyte Größe entstehen, so Talos.

Über die Verbreitung von Rombertik sagt der Bericht der Talos Group nichts aus. Nutzern kann man nur die üblichen Verhaltensempfehlungen geben, Links und Anhänge in E-Mails von unbekannten Absendern nicht anzuklicken und aktuelle Sicherheitssoftware zu nutzen.

abr
Die Wiedergabe wurde unterbrochen.