Nieuws

Malware vernietigt MBR van harde schijf bij analyse

dinsdag 5 mei 2015, 11:05 door Redactie, 11 reacties

Het is bekend dat malwaremakers allerlei trucs uithalen om analyse van hun creatie te voorkomen, maar een nieuw exemplaar gaat wel heel erg ver en "vernietigt" de Master Boot Record (MBR) van de harde schijf, waardoor de computer niet meer kan opstarten. Dat laten onderzoekers van Cisco weten.

De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. De nu ontdekte Rombertik-malware richt zich op de MBR in het geval van analyse. De malware verspreidt zich via e-mailbijlagen en doet zich voor als een PDF-bestand. In werkelijkheid gaat het echter om een SCR-bestand dat de malware is.

Zodra gebruikers de bijlage openen controleert Rombertik eerst of het binnen een sandbox draait. Sandboxes worden vaak door onderzoekers gebruikt om malware te analyseren en het komt regelmatig voor dat malware op de aanwezigheid van dit soort analyseomgevingen controleert. In het geval er geen sandbox wordt aangetroffen wordt de installatie voortgezet. Rombertik is ontwikkeld om wachtwoorden uit browsers te stelen.

Voordat het dit doet wordt er nog een laatste controle uitgevoerd om te controleren dat de malware niet via het geheugen wordt geanalyseerd. Als deze controle mislukt slaat Rombertik toe en vernietigt de MBR en overschrijft de partities met "null bytes", zodat het herstellen van data van deze partities lastig wordt. De MBR wordt verder zo aangepast dat de computer in een oneindige herstartloop terechtkomt. Als de malware geen permissies heeft om de MBR te overschrijven zal het alle bestanden van de gebruiker in de home directory overschrijven en versleutelen.

Chinees anti-virusbedrijf stopt met verschillende anti-virustests

Politie VS arresteert 17-jarige na aanval op schoolservers

Reacties (11)

05-05-2015, 13:06 door Anoniem

Vraag1:
Hoe reageert dit soort malware op het volgende scenario:
1. Geforceerd uitzetten van de computer (stroom eraf halen)
2. Daarna een recovery CD van een backupprogramma starten
3. Laatste succesvolle backup van het OS (en de MBR) terugzetten
4. Computer (normaal) starten

Vraag 2:
Is deze malware alleen schadelijk voor de MBR of ook voor GPT?

Heeft iemand enige aanvullende informatie over dit soort malware?

05-05-2015, 16:14 door Anoniem

Pff; MBR rebuild is geen rocket-science hoor; tegenwoordig tools genoeg en ik heb het toen ik 15 jaar oud was ook wel eens met de hand - lees: diskedit.com / hexeditor - gedaan.

05-05-2015, 16:28 door Anoniem

Gewoon dus Windows in een Linux virtual machine (kvm virtualbox etc) draaien :-)

05-05-2015, 18:27 door Anoniem

Door Anoniem:
Heeft iemand enige aanvullende informatie over dit soort malware?

Was de link naar de Cisco analyse om te beginnen niet genoeg?

Ik zie in de eerste plaats een Gzip file en je weet dat je geen 'zip' file attachments moet openen als je niet heel zeker weet dat dat een verstandig idee is.
De zoveelste variant dus van een verstopte 'executable' in een zipje

http://fileinfo.com/extension/gz

05-05-2015, 18:39 door Anoniem

fdisk /mbr
klaar..

05-05-2015, 18:59 door [Account Verwijderd] - Bijgewerkt: 05-05-2015, 19:00

[Verwijderd]

05-05-2015, 20:05 door Anoniem

Start op met je windows cd
Kies voor herstellen
Start command prompt
Bootrec /fixboot
Bootrec /fixmbr
Bootrec /rebuildbcd
Reboot

05-05-2015, 23:30 door Eric-Jan H te D

Door Anoniem: fdisk /mbr
klaar..

Is voor de Windows omgeving misschien niet meer de gebruikelijke gang van zaken.

06-05-2015, 16:46 door Anoniem

GPT wordt niet ondersteund om Windows op te installeren maar alleen als 2e schijf / partitie dus blijven we nog steeds afhankelijk van de MBR.

Wanneer kunnen we op een GPT indeling (geen FAT of NTFS) een Windows installeren (primaire partitie) ?

06-05-2015, 22:27 door Eric-Jan H te D

Door Anoniem: GPT wordt niet ondersteund om Windows op te installeren

Er zijn een aantal hacks waardoor dit ogenschijnlijk wel kan. Hybrid MBR en DUET zijn er twee van.

De eerste heeft als nadelen dat hij omschreven staat als gevaarlijk en dat Windows het GPT-deel niet ziet.

De tweede doet het systeem lijken op een EFI-systeem, maar schijnt erg moeilijk te zijn om op te zetten. Bovendien werkt het alleen met x64 vanaf Vista en later.

07-05-2015, 20:40 door Anoniem

http://computerworld.nl/beveiliging/86128-welk-land-maakte-deze-enge-malware

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Malware vernietigt MBR van harde schijf bij analyse

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren