Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения

Rombertik напоминает вредоносное ПО Wiper, использовавшееся при атаке на Sony Pictures Entertainment.
Эксперты из Cisco сообщили о новом виде вредоносного ПО, которое при сканировании зараженного компьютера на вирусы выводит его из строя. Программа, получившая название Rombertik, распространяется с помощью спам-сообщений и фишинговых писем и перехватывает любой незашифрованный текст, вводимый в окне браузера. Этим вредонос напоминает банковский троян Dyre, однако в отличие от него похищает не только финансовую информацию, но и другие вводимые жертвой данные.
Для того чтобы заставить жертву загрузить, разархивировать и запустить Rombertik, злоумышленники используют социальную инженерию. После запуска на компьютере под управлением Windows вредоносное ПО осуществляет несколько проверок для того чтобы определить, детектируется ли оно антивирусными решениями.
Такое поведение весьма необычно для определенных типов вредоносов. Тем не менее, Rombertik уникален именно тем, что, обнаружив признаки сканирования системы на вирусы или попытки его удаления, уничтожает главную загрузочную запись. Сначала вредонос пытается переписать ее или PhysicalDisk0, а в случае отсутствия прав на переписывание главной загрузочной записи уничтожает все файлы в домашней папке пользователя (например, C:\Documents and Settings\Administrator\), шифруя их ключом RC4. После этого компьютер перезагружается.
В ходе реверс-инжиниринга Rombertik исследователи обнаружили множество слоев обфускации и функционал, позволяющий обходить обнаружение инструментами статического и динамического анализа.
Подобное ПО под названием Wiper применялось для осуществления прошлогодней атаки на Sony Pictures Entertainment, а также в ходе вредоносной кампании DarkSeoul против южнокорейских организаций, имевшей место в 2013 году. Предполагается, что ответственность за инциденты лежит на Северной Корее. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Смартфон Motorola P30 представлен официально - 16.08.2018: STFW.Ru: Как и ожидалось, сегодня компания Motorola на специальном мероприятии в Китае


•  Представлен смартфон OPPO F9: 6,3-дюймовый дисплей с каплеобразным вырезом, 25-Мп фронтальная камера и градиентная окраска - 16.08.2018: STFW.Ru: Компания OPPO официально представила свой новый смартфон среднего уровня OPPO


•  Первые тесты производительности SoC Snapdragon 850 для мобильных ПК Always Connected PC с ОС Windows 10 не выглядят впечатляющими - 16.08.2018: STFW.Ru: База данных тестового ПО Geekbench пополнилась результатами неизвестного


•  Опять двадцать пять: Intel рассказала о новых уязвимостях в процессорах - 16.08.2018: STFW.Ru: Компания Intel раскрыла информацию об очередном наборе уязвимостей в


•  В Киеве открыли систему общественного велопроката Nextbike. Пока доступно 100 велосипедов, в следующем году их количество обещают довести до 2000 штук - 16.08.2018: STFW.Ru: Мэр Киева Виталий Кличко принял участие в презентации и лично протестировал


•  lifecell развернул первую в Украине виртуализированную мобильную сеть NFV, которая позволит оператору быстро мигрировать на стандарт 5G - 16.08.2018: STFW.Ru: Оператор мобильной связи lifecell объявил о развертывании первой в Украине