Rombertik «заметает следы» при попытке его обнаружения

Эксперты из Cisco сообщили о новом виде вредоносного ПО, которое при сканировании зараженного компьютера на вирусы выводит его из строя. Программа, получившая название Rombertik, распространяется с помощью спам-сообщений и фишинговых писем и перехватывает любой незашифрованный текст, вводимый в окне браузера. Этим вредонос напоминает банковский троян Dyre, однако в отличие от него похищает не только финансовую информацию, но и другие вводимые жертвой данные.

Для того чтобы заставить жертву загрузить, разархивировать и запустить Rombertik, злоумышленники используют социальную инженерию. После запуска на компьютере под управлением Windows вредоносное ПО осуществляет несколько проверок для того чтобы определить, детектируется ли оно антивирусными решениями.

Такое поведение весьма необычно для определенных типов вредоносов. Тем не менее, Rombertik уникален именно тем, что, обнаружив признаки сканирования системы на вирусы или попытки его удаления, уничтожает главную загрузочную запись. Сначала вредонос пытается переписать ее или PhysicalDisk0, а в случае отсутствия прав на переписывание главной загрузочной записи уничтожает все файлы в домашней папке пользователя (например, C:\Documents and Settings\Administrator\), шифруя их ключом RC4. После этого компьютер перезагружается.

В ходе реверс-инжиниринга Rombertik исследователи обнаружили множество слоев обфускации и функционал, позволяющий обходить обнаружение инструментами статического и динамического анализа.

Источник: securitylab.ru

Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s