Endre, Elek
17 °C
30 °C

Leformázza a merevlemezt a kártevő

2015.05.06. 13:50

A Cisco Systems Talos csoportja felfedezett egy új malware-t, amelynek specialitása, hogy mindenhogyan megpróbálja megakadályozni, hogy elemezzék a biztonsági szakértők: megpróbálja letörölni a teljes merevlemezt is, a számítógép pedig nem futtatható, amíg újra nem telepítik.

A Rombertiknek elnevezett kártevő összetett szoftver, ami mindent összegyűjt, amit a felhasználó a weben csinál. Gyűjti a hozzáféréseket és mindenféle személyes adatot is. Emailben küldött csatolmányokkal terjesztik.

A Talos kutatóinak sikerült visszafejteniük a kódot, amiből látszik, hogy több lépést is tettek azért, hogy elkerüljék az elemzést. A kódot direkt bonyolították, hogy nehezebben lehessen olvasni, és van olyan része is, ami észre veszi, ha szakemberek próbálják vizsgálni. 

Ilyenkor felülírja a számítógép merevlemezének Master Boot Recordját (MBR), egy speciális részt, ami az operációs rendszerek betöltéséért felelős. Ha megpróbálják elemezni, újraindítja a gépet és innentől csak egy rövid üzenet fogadja a felhasználókat, hogy nem használhatják a gépet. 

Ha a programnak nem sikerül hozzáférnie az MBR-hez, akkor letörli a felhasználó alapértelmezett fiókját a Windowsban, és véletlenszerűen rengeteg adatot ír a memóriába (960 millió alkalommal), hogy nehezebb legyen kiválogatni azokat a részeket, amik a működésével kapcsolatosak. Ha valaki megpróbálja rögzíteni a memória teleírását az elemzéshez, akár száz gigabájtos fájlt is kaphat végeredményként, amit már nehéz elemezni.