Un nou tip de malware descoperit de cei de la Cisco Systems poate distruge efectiv un calculator, in cazul in care este detectat in timpul controalelor de securitate.
Malware-ul, denumit Rombertik, este conceput pentru a intercepta orice text introdus intr-o fereastra de browser web. Potrivit blogului Cisco Talos Group, acesta este raspandit prin intermediul mesajelor de tip spam sau phishing.
Dupa ce este instalat pe un computer cu Windows, Rombertik face cateva verificari pentru a vedea daca a fost detectat. Acest tip de comportament nu este neobisnuit pentru anumite tipuri de malware, dar Rombertik “este unic prin faptul ca incearca in mod activ sa distruga computerul, in cazul in care detecteaza anumite comportamente asociate cu detectarea de malware”, scrie pe blogul Talos Group.
Ultima verificare pe care o face Rombertik este si cea mai periculoasa. Acesta compileaza un hash pe 32 de biti a unei resurse in memorie, si in cazul in care resursa respectiva sau data compilarii au fost modificate, Rombertik declanseaza procesul de auto-distrugere.
Prima tinta vizata este Master Boot Record (MBR), primul sector de pe hard disk pe care computerul il acceseaza pentru a incarca sistemul de operare. Daca Rombertik nu are acces la MBR, distruge efectiv toate fisierele din folderul home al utilizatorului, criptand fiecare fisier in parte cu o cheie RC4 aleatoare.
Odata ce sectorul MBR este corupt sau folderul home este criptat, computerul reporneste. Astfel, MBR intra intr-o bucla infinita care impiedica computerul sa booteze, iar pe ecran apare mesajul “Carbon crack attempt, failed.”
Atunci cand este instalat pe un calculator, acesta se dezarhiveaza. In jur de 97% din continutul dezarhivat este conceput pentru a arata legitim si este compus din 75 de imagini si 8.000 de functii care nu sunt utilizate niciodata.
“Acest tip de compresie incearca sa copleseasca analistii prin faptul ca este imposibil ca acestia sa analizeze fiecare functie in parte”, scrie Talos.
De asemenea, malware-ul incearca sa evite sandboxing-ul (sau practica de izolare a codului) pana cand perioada de testing a trecut. Unele malware-uri sunt concepute in asa fel incat sa astepte “cuminti” in sandbox, sperand ca perioada de sandboxing va expira si vor putea sa-si indeplineasca sarcinile.
Cu toate acestea, Rombertik ramane activ si in perioada de sandboxing si scrie cate un octet de date in memorie de 960 de milioane de ori, ceea ce complica munca instrumentelor de analiza.
“Daca un instrument de analiza ar incerca sa logheze toate cele 960 de milioane de biti, logul va ajunge la o dimensiune de peste 100 de gigabytes”, scrie Talos.
Sursa foto