Jaunā Rombertik ļaunprogrammatūra uzbrūk cietajiem diskiem, ja tiek konstatēta, noslauka MBR

CarbonCrack

Iespējams, ka kaķu un peles spēle starp ļaunprogrammatūru autoriem un baltajām cepurēm šonedēļ ir iegājusi jaunā fāzē, pateicoties agresīvai jaunai ļaunprātīgas programmatūras sistēmai, kas nemēģina tikai apgrūtināt savu darbību - tā agresīvi meklē, vai nav citu cilvēku norāžu. uzrauga tā darbību. Ja tā konstatē, ka tā darbojas virtuālajā mašīnā, ļaunprogrammatūra, saukta par Rombertik, kļūs kodolprogramma un mēģinās pārrakstīt vietējā cietā diska galveno sāknēšanas ierakstu.

Cisco draudu reaģēšanas komanda ir detalizēti aprakstījusi Rombertik darbību, un ļaunprogrammatūras aptumšošanas un uzbrukumu pārnēsātāji ir unikāli. Pēc instalēšanas tas ir diezgan standarta datu šņaukšanas līdzeklis, kas bez izšķirības sagrābj inficētajā datorā pieejamo informāciju. Rombertik atšķir tas, kā tas pārbauda, ​​vai tas darbojas VM nodrošinātā smilškastē, un darbības, kas jāveic, ja tas nonāk šādā režīmā.



Kompromisa plūsma

Noklikšķiniet, lai palielinātu

Augšpusē esošajā infografikā ir parādīts, kā darbojas ļaunprātīgā programmatūra un ko tā dara. Rombertik satur ļoti daudz informācijas, lai tā izskatās īsta; Cisco lēš, ka 97% no iesaiņotā faila tiek veltīti attēliem un funkcijām, kuras faktiskā ļaunprogrammatūra nekad neizmanto. Kad tas sāk darboties, izpildāmais sākas, ierakstot atmiņā 960 miljonus nejaušo baitu. Šī funkcija nav noderīga, taču tā nodrošina, ka visas lietojumprogrammas, kas mēģina izsekot ļaunprātīgas programmatūras darbību, pārpludinātu 100 GB + žurnāla faili.

Pabeidzis šo uzdevumu, Rombertik veic dažus īpašus nederīgu funkciju izsaukumus, lai pārbaudītu, vai nav konkrētu kļūdu (tas meklē kļūdu, kuru VM parasti varētu nomākt). Kad tā nolemj, ka tā nav darbojas smilšu kastē, ļaunprogrammatūra sāk pati izpakot. Kods ir apzināti aptraipīts ar desmitiem funkciju, lēcienu un nevajadzīgu (bet apmulsinošu) uzpūšanos.



Kontroles plūsmas

Drošības pārbaudes ir labajā pusē, primārais kods pa kreisi. Noklikšķiniet, lai palielinātu

Šajā sarežģītības kartē labajā pusē ir redzams antianalīzes kods, kreisajā pusē izpildāmais. Lai gan antianalīzes kods varētu izskatīties biedējošāks, tas faktiski ir salīdzinoši vienkāršs blokshēma ar lielu skaitu atkārtojumu. Kreisās puses diagramma savukārt ir funkciju bloku, čeku un simtiem mezglu sajaukšana - tas viss ir domāts, lai neļautu analītiķiem lasīt rakstīto.

Šī procesa beigās Rombertik aprēķina 32 bitu jaukumu, salīdzina to ar neizpakotu paraugu un, ja konstatē, ka tas darbojas VM, nekavējoties paziņo karu pret jūsu cietā diska galveno sāknēšanas ierakstu. Ja tas nevar piekļūt un pārrakstīt MBR, tas šifrē visus failus mapē C: Documents and Settings Administrator, izmantojot RC4 taustiņu. Ja tas var nokļūt MBR rokās, tas pārraksta nodalījuma datus ar nulles baitiem, tādējādi ārkārtīgi grūti atjaunot disku.



Tātad, kurš rakstīja Rombertiku?

Rombertik dīvaini ir tas, ka tas apvieno klasiskās ļaunprātīgas programmatūras elementus - slikti uzrakstītu sākotnējo pikšķerēšanas mēģinājumu un purva standarta datu uztveršanu no pārlūka sesijām - ar dažām absolūti visaugstākās pakāpes antidetektēšanas metodēm un elles labo āķi, ja tiek noķerts. Rombertik autori ir ieguldījuši ļoti daudz laika, lai nodrošinātu, ka vīruss nonāk mērķī un var veikt savas darbības. Bet tas ir tāds aizsmakuma paņēmiens, kādu mēs varētu sagaidīt valsts dalībnieku produktos - ja ne mūsu pašu valdība, tad kāds cits.

Neviens nerunā par kaut kādiem valdības iniciatīva piesaistīts Rombertikam. Savā ziņā tas ir vairāk satraucoši - Trojas zirgs, kuru šis komplekss, kuru izstrādāja valsts aktieri, vispirms ir satraucošs, taču šīs metodes kļūst par galvenajām ir gandrīz sliktākas. Cisco emuāra ziņā ir sīkāka informācija par ļaunprātīgu programmatūru un tās funkcijām - dod to lasīt ja vēlaties ielūkoties vienā no līdz šim iespaidīgākajiem ļaunprogrammatūras projektiem.

Copyright © Visas Tiesības Aizsargātas | 2007es.com