Информационные технологии

Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения

Rombertik напоминает вредоносное ПО Wiper, использовавшееся при атаке на Sony Pictures Entertainment.
Эксперты из Cisco сообщили о новом виде вредоносного ПО, которое при сканировании зараженного компьютера на вирусы выводит его из строя. Программа, получившая название Rombertik, распространяется с помощью спам-сообщений и фишинговых писем и перехватывает любой незашифрованный текст, вводимый в окне браузера. Этим вредонос напоминает банковский троян Dyre, однако в отличие от него похищает не только финансовую информацию, но и другие вводимые жертвой данные.
Для того чтобы заставить жертву загрузить, разархивировать и запустить Rombertik, злоумышленники используют социальную инженерию. После запуска на компьютере под управлением Windows вредоносное ПО осуществляет несколько проверок для того чтобы определить, детектируется ли оно антивирусными решениями.
Такое поведение весьма необычно для определенных типов вредоносов. Тем не менее, Rombertik уникален именно тем, что, обнаружив признаки сканирования системы на вирусы или попытки его удаления, уничтожает главную загрузочную запись. Сначала вредонос пытается переписать ее или PhysicalDisk0, а в случае отсутствия прав на переписывание главной загрузочной записи уничтожает все файлы в домашней папке пользователя (например, C:\Documents and Settings\Administrator\), шифруя их ключом RC4. После этого компьютер перезагружается.
В ходе реверс-инжиниринга Rombertik исследователи обнаружили множество слоев обфускации и функционал, позволяющий обходить обнаружение инструментами статического и динамического анализа.
Подобное ПО под названием Wiper применялось для осуществления прошлогодней атаки на Sony Pictures Entertainment, а также в ходе вредоносной кампании DarkSeoul против южнокорейских организаций, имевшей место в 2013 году. Предполагается, что ответственность за инциденты лежит на Северной Корее. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Новый вид вредоносного ПО «заметает следы» при попытке его обнаружения, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Авиационные власти США скрыли, что без усовершенствований Boeing 737 MAX будет падать каждые два-три года - 12.12.2019: STFW.Ru: Boeing 737 MAX точно не вернется в небо в 2019 году. Да и на счет 2020 года есть большие


•  Сегодня День Конституции РФ. С праздником, россияне! :) - 12.12.2019: STFW.Ru: "День Конституции" - празднование принятия Конституции в современной


•  Свидания с роботами и звонки "по руке": как мы будем общаться через 100 лет - 12.12.2019: STFW.Ru: Искусственный интеллект и виртуальная реальность вытеснят личное общение?


•  Россия вошла в тройку крупнейших военно-воздушных держав мира: в США опубликовали рейтинг стран с самыми сильными ВВС за 2019 год - 12.12.2019: STFW.Ru: Авторитетное специализированное издание Flight International обнародовало данные


•  Путин назвал беспардонной ложью "антисоветскую" резолюцию Европарламента - 12.12.2019: STFW.Ru: Москва. 11 декабря. INTERFAX.RU - Президент РФ Владимир Путин считает


•  Пользователям старой Windows 7 испортят жизнь 15 января. "Лицензию" Windows 7 можно до сих пор бесплатно обновить до Windows 10 с помощью официальной утилиты под названием Media Creation Tool - 12.12.2019: STFW.Ru: В компании Microsoft тестируют новый, довольно необычный способ заставить