Menü

Rombertik: Der Virus der verbrannten Erde

Dieser Fiesling hats in sich: Falls der Schadcode Rombertik vermutet, dass er analysiert werden soll, löscht er kurzerhand den Bootsektor und stürzt den Rechner des Opfers in eine Endlos-Bootschleife.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 315 Beiträge

Sieht man diesen Bildschirm, hat Rombertik den MBR gelöscht.

(Bild: Talos)

Von

Auf den ersten Blick sieht der Windows-Schädling Rombertik nicht besonders außergewöhnlich aus: Er versucht per Phishing-Spam auf die Rechner seiner Opfer zu kommen und spioniert dann dort alles aus, was den Drahtziehern irgendwie nützlich sein könnte. Interessant wird es allerdings, wenn Virenforscher versuchen, den Schädling zu analysieren. Wird solch eine Analyse entdeckt, löscht der Schadcode den Master Boot Record (MBR) und startet das System neu, so dass der PC des Opfers in einer Bootschleife gefangen ist. Gelingt dies nicht, verschlüsselt er die privaten Daten des Nutzers mit einem zufälligen RC4-Schlüssel und macht sie so unbrauchbar.

Auch sonst gibt sich Rombertik alle Mühe, Forschern das Leben schwer zu machen. Mehr als 97% des Schädlings bestehen aus überflüssigen Daten und aus wahllosem Code der zwischen nutzlosen Funktionen hin und her springt, um eine Analyse zu erschweren. Untersucht man das Wirrwarr mit einem Tool, das den Codeflow visualisiert, kommt ein komplexes Monstrum zu Tage.

Schaut man sich den Code des Schädlings mit Analysetools genauer an, wird deutlich, wie viele Nebelwerfer hier eingebaut sind.

(Bild: Talos)

Der Code schreibt unter anderem nutzlose Daten 960 Millionen mal in den Speicher, um bei Ausführung in einer Analyse-Sandbox die Logs der Software aufzublähen – ein Tracing-Tool könnte so potentiell mehrere Gigabyte an Daten produzieren. Ebenso wird eine Windows-Debug-Funktion immer wieder aufgerufen, um möglichst viel Krach zu erzeugen und eine Analyse mit Hilfe von Debug-APIs zu erschweren. Die Forscher von Ciscos Malware-Analyseeinheit Talos, die Rombertik entdeckt haben, hatten zwar schon vorher ähnliche Anti-Analysetechniken in anderem Schadcode beobachtet, der Versuch den Computer nach Entdeckung einer Analyse komplett unbrauchbar zu machen sei allerdings neu.

Rombertik verbreitet sich über Phishing-Mails als angebliche PDF-Datei, die eigentlich ein Bildschirmschoner ist. Wird diese .SCR-Datei angeklickt, startet sich der Schadcode automatisch. Trotz des ganzen Anti-Analyse-Aufwandes sollten aktuelle Virenscanner gegen den Schädling helfen – wenigstens bis die Drahtzieher ihn wieder abwandeln. Hat Rombertik den MBR eines Systems gelöscht, sind die Daten zwar nicht unwiederbringlich verloren, eine Wiederherstellung ist auf Grund der Methode, mit der alle Daten im MBR mit Nullen überschrieben werden, allerdings nicht ganz einfach. (fab)