Специалисти от
Cisco Talos Security Group се натъкнаха на особено сложен
малуер, който разрушава системата при опит за анализ. Разработчици по информационна сигурност, като тези от
Websense, алармират за все по-засилващите се тенденции на
малуер сцената за използване на техники, които ще направят невъзможен за анализ кода, като проверки, дали той бива изпълняван в нормална или във
виртуализирана среда, използване на многослойна
обфускация и други методи за предотвратяване на анализ. Това до голяма степен забавя инспекцията на малуер пробите, а с това и бързата реакция на индустрията да излезе с решение срещу тази заплаха, което от своя страна води до продължаване дейността на малуера, необезпокоявано.
Rombertik, каквото име са дали на новата заплаха специалистите от
Cisco, отива по-далеч в защитата си. Малуерът, който представлява шпионски софтуер, регистриращ всичко, което потребителят набира в браузъра си, не проявява пасивността на своите събратя, които обикновено след засичането на
виртуализирана среда просто се самоунищожават или "заспиват", а действа агресивно, като разрушава MBR сектора, запълва паметта с огромно количество код и презаписва дисковете с нулев код, разрушавайки системата и данните.Конкретната малуер проба анализирана от специалистите е дошла под формата на прикачен файл във фишинг имейл. Прикрит като документов файл в архив,
Rombertik е в действителност, .scr скрийнсейвър файл. Основният, код съобщават от Cisco е едва 28 KB, като 97% от него представляват данни, които да накарат потребителя да мисли, че това в действителност е
скрийнсейвър приложение, съдържащо 75 изображения и над 8000 функции, които така и не се задействат. След изпълнението си, Rombertik прави първи проверки за средата, в която функционира. Ако не намира нищо притеснително, той се инсталира на системата. След това малуерът създава свое копие, презаписвайки го с кода на първото. Преди да започне същинската си функционалност обаче, Rombertik прави още една проверка дали не е пуснат във виртуална среда. Всяко използване на инструменти за анализ, по което и да е време в хода на този процес включва защитните му механизми. Засече ли атака към кода си, малуерът започва и защитните си действия. Освен обфускацията на кода и включването на огромното количество непотребен код и изображения, Rombertik има и други оръжия. Включат ли се защитните му механизми, той започва да запълва паметта със случайни битове данни, пишейки 960 милиона инструкции по нея. Това се прави не само с цел да заблуди не само
сендбокс инструментите, но и тези, които са насочени към регистрацията и записа на промените, правени от малуера. Записа на 960 милиона инструкции, прави лога от тези инструменти огромен и невъзможен за обикновен анализ.След приключване на проверката,
Rombertik прави промени в регистъра, което да му осигури стартирането със системата. Ако засече използването на инструменти за анализ той прави опит за презаписване на MBR сектора, ако няма права за това криптира файловете в домашната папка и рестартира системата. Той прави промени в Master Boot Record сектора, като освен това презаписва информацията за дисковите устройства на машината с нули, изписвайки съобщението "Carbon crack attempt, failed".
"Докато от Talos сме наблюдавали техники срещу анализ и дебъгване в малуер семпли преди,
Rombertik е уникален по отношение на това, че той активно се опитва да разруши компютъра, ако засече определени характеристики за малуер анализ",
пишат създателите на доклада на страниците на блога на Talos.Истинската дейност на малуера включва изследване на паметта за наличието на процес, свързан с
Internet Explorer,
Mozilla Firefox или
Google Chrome. Натъкне ли се на такъв, той се вгражда в него, като успява да пресече всяка информация, която бива попълвана в полетата по страниците във формата на обикновен текст, успявайки да пресече данните, вкарвани към ресурс, защитен с
HTTPS връзка, преди изпратената информация да бъде криптирана. След събирането на данните,
Rombertik изпраща данните към контролен сървър.
