Rombertik: Der Virus der verbrannten Erde
Dieser Fiesling hats in sich: Falls der Schadcode Rombertik vermutet, dass er analysiert werden soll, löscht er kurzerhand den Bootsektor und stürzt den Rechner des Opfers in eine Endlos-Bootschleife.
Sieht man diesen Bildschirm, hat Rombertik den MBR gelöscht.
(Bild: Talos)
- Fabian A. Scherschel
Auf den ersten Blick sieht der Windows-Schädling Rombertik nicht besonders außergewöhnlich aus: Er versucht per Phishing-Spam auf die Rechner seiner Opfer zu kommen und spioniert dann dort alles aus, was den Drahtziehern irgendwie nützlich sein könnte. Interessant wird es allerdings, wenn Virenforscher versuchen, den Schädling zu analysieren. Wird solch eine Analyse entdeckt, löscht der Schadcode den Master Boot Record (MBR) und startet das System neu, so dass der PC des Opfers in einer Bootschleife gefangen ist. Gelingt dies nicht, verschlüsselt er die privaten Daten des Nutzers mit einem zufälligen RC4-Schlüssel und macht sie so unbrauchbar.
Dieser Virus hasst Virenforscher
Auch sonst gibt sich Rombertik alle Mühe, Forschern das Leben schwer zu machen. Mehr als 97% des Schädlings bestehen aus überflüssigen Daten und aus wahllosem Code der zwischen nutzlosen Funktionen hin und her springt, um eine Analyse zu erschweren. Untersucht man das Wirrwarr mit einem Tool, das den Codeflow visualisiert, kommt ein komplexes Monstrum zu Tage.
(Bild: Talos)
Der Code schreibt unter anderem nutzlose Daten 960 Millionen mal in den Speicher, um bei Ausführung in einer Analyse-Sandbox die Logs der Software aufzublähen – ein Tracing-Tool könnte so potentiell mehrere Gigabyte an Daten produzieren. Ebenso wird eine Windows-Debug-Funktion immer wieder aufgerufen, um möglichst viel Krach zu erzeugen und eine Analyse mit Hilfe von Debug-APIs zu erschweren. Die Forscher von Ciscos Malware-Analyseeinheit Talos, die Rombertik entdeckt haben, hatten zwar schon vorher ähnliche Anti-Analysetechniken in anderem Schadcode beobachtet, der Versuch den Computer nach Entdeckung einer Analyse komplett unbrauchbar zu machen sei allerdings neu.
Wie man sich schützen kann
Rombertik verbreitet sich über Phishing-Mails als angebliche PDF-Datei, die eigentlich ein Bildschirmschoner ist. Wird diese .SCR-Datei angeklickt, startet sich der Schadcode automatisch. Trotz des ganzen Anti-Analyse-Aufwandes sollten aktuelle Virenscanner gegen den Schädling helfen – wenigstens bis die Drahtzieher ihn wieder abwandeln. Hat Rombertik den MBR eines Systems gelöscht, sind die Daten zwar nicht unwiederbringlich verloren, eine Wiederherstellung ist auf Grund der Methode, mit der alle Daten im MBR mit Nullen überschrieben werden, allerdings nicht ganz einfach. (fab)
