Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения

Rombertik напоминает вредоносное ПО Wiper, использовавшееся при атаке на Sony Pictures Entertainment.
Эксперты из Cisco сообщили о новом виде вредоносного ПО, которое при сканировании зараженного компьютера на вирусы выводит его из строя. Программа, получившая название Rombertik, распространяется с помощью спам-сообщений и фишинговых писем и перехватывает любой незашифрованный текст, вводимый в окне браузера. Этим вредонос напоминает банковский троян Dyre, однако в отличие от него похищает не только финансовую информацию, но и другие вводимые жертвой данные.
Для того чтобы заставить жертву загрузить, разархивировать и запустить Rombertik, злоумышленники используют социальную инженерию. После запуска на компьютере под управлением Windows вредоносное ПО осуществляет несколько проверок для того чтобы определить, детектируется ли оно антивирусными решениями.
Такое поведение весьма необычно для определенных типов вредоносов. Тем не менее, Rombertik уникален именно тем, что, обнаружив признаки сканирования системы на вирусы или попытки его удаления, уничтожает главную загрузочную запись. Сначала вредонос пытается переписать ее или PhysicalDisk0, а в случае отсутствия прав на переписывание главной загрузочной записи уничтожает все файлы в домашней папке пользователя (например, C:\Documents and Settings\Administrator\), шифруя их ключом RC4. После этого компьютер перезагружается.
В ходе реверс-инжиниринга Rombertik исследователи обнаружили множество слоев обфускации и функционал, позволяющий обходить обнаружение инструментами статического и динамического анализа.
Подобное ПО под названием Wiper применялось для осуществления прошлогодней атаки на Sony Pictures Entertainment, а также в ходе вредоносной кампании DarkSeoul против южнокорейских организаций, имевшей место в 2013 году. Предполагается, что ответственность за инциденты лежит на Северной Корее. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Amazon дразнит рекламным изображением, намекающим на скорый анонс новой ТВ-приставки Fire TV Cube - 26.04.2018: STFW.Ru: Еще в сентябре прошлого года мы сообщали о двух таинственных


•  Роскомнадзор: Контакты с Amazon к положительным результатам пока не привели - 26.04.2018: STFW.Ru: Роскомнадзор совместно с РОЦИТ провел в среду, 25 апреля, встречу с


•  Войска радиоэлектронной борьбы сумели сломать боевые самолеты США в Сирии - 26.04.2018: STFW.Ru: Вооруженные силы США в Сирии постоянно подвергаются радиоэлектронным


•  В Северной Корее обрушился ядерный полигон - 26.04.2018: STFW.Ru: В Северной Корее обрушился расположеный в горах ядерный полигон.По этой


•  [Badass] Россия и Китай сольют ГЛОНАСС и BeiDou - 26.04.2018: STFW.Ru: Россия и Китай на основе ГЛОНАСС и BeiDou могут создать объединенную систему


•  Требуем избрать! - 26.04.2018: STFW.Ru: