image

Malware vernietigt MBR van harde schijf bij analyse

dinsdag 5 mei 2015, 11:05 door Redactie, 11 reacties

Het is bekend dat malwaremakers allerlei trucs uithalen om analyse van hun creatie te voorkomen, maar een nieuw exemplaar gaat wel heel erg ver en "vernietigt" de Master Boot Record (MBR) van de harde schijf, waardoor de computer niet meer kan opstarten. Dat laten onderzoekers van Cisco weten.

De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. De nu ontdekte Rombertik-malware richt zich op de MBR in het geval van analyse. De malware verspreidt zich via e-mailbijlagen en doet zich voor als een PDF-bestand. In werkelijkheid gaat het echter om een SCR-bestand dat de malware is.

Zodra gebruikers de bijlage openen controleert Rombertik eerst of het binnen een sandbox draait. Sandboxes worden vaak door onderzoekers gebruikt om malware te analyseren en het komt regelmatig voor dat malware op de aanwezigheid van dit soort analyseomgevingen controleert. In het geval er geen sandbox wordt aangetroffen wordt de installatie voortgezet. Rombertik is ontwikkeld om wachtwoorden uit browsers te stelen.

Voordat het dit doet wordt er nog een laatste controle uitgevoerd om te controleren dat de malware niet via het geheugen wordt geanalyseerd. Als deze controle mislukt slaat Rombertik toe en vernietigt de MBR en overschrijft de partities met "null bytes", zodat het herstellen van data van deze partities lastig wordt. De MBR wordt verder zo aangepast dat de computer in een oneindige herstartloop terechtkomt. Als de malware geen permissies heeft om de MBR te overschrijven zal het alle bestanden van de gebruiker in de home directory overschrijven en versleutelen.

Reacties (11)
05-05-2015, 13:06 door Anoniem
Vraag1:
Hoe reageert dit soort malware op het volgende scenario:
1. Geforceerd uitzetten van de computer (stroom eraf halen)
2. Daarna een recovery CD van een backupprogramma starten
3. Laatste succesvolle backup van het OS (en de MBR) terugzetten
4. Computer (normaal) starten


Vraag 2:
Is deze malware alleen schadelijk voor de MBR of ook voor GPT?


Heeft iemand enige aanvullende informatie over dit soort malware?
05-05-2015, 16:14 door Anoniem
Pff; MBR rebuild is geen rocket-science hoor; tegenwoordig tools genoeg en ik heb het toen ik 15 jaar oud was ook wel eens met de hand - lees: diskedit.com / hexeditor - gedaan.
05-05-2015, 16:28 door Anoniem
Gewoon dus Windows in een Linux virtual machine (kvm virtualbox etc) draaien :-)
05-05-2015, 18:27 door Anoniem
Door Anoniem:
Heeft iemand enige aanvullende informatie over dit soort malware?

Was de link naar de Cisco analyse om te beginnen niet genoeg?

Ik zie in de eerste plaats een Gzip file en je weet dat je geen 'zip' file attachments moet openen als je niet heel zeker weet dat dat een verstandig idee is.
De zoveelste variant dus van een verstopte 'executable' in een zipje

http://fileinfo.com/extension/gz
05-05-2015, 18:39 door Anoniem
fdisk /mbr
klaar..
05-05-2015, 18:59 door [Account Verwijderd] - Bijgewerkt: 05-05-2015, 19:00
[Verwijderd]
05-05-2015, 20:05 door Anoniem
Start op met je windows cd
Kies voor herstellen
Start command prompt
Bootrec /fixboot
Bootrec /fixmbr
Bootrec /rebuildbcd
Reboot
05-05-2015, 23:30 door Eric-Jan H te D
Door Anoniem: fdisk /mbr
klaar..

Is voor de Windows omgeving misschien niet meer de gebruikelijke gang van zaken.
06-05-2015, 16:46 door Anoniem
GPT wordt niet ondersteund om Windows op te installeren maar alleen als 2e schijf / partitie dus blijven we nog steeds afhankelijk van de MBR.

Wanneer kunnen we op een GPT indeling (geen FAT of NTFS) een Windows installeren (primaire partitie) ?
06-05-2015, 22:27 door Eric-Jan H te D
Door Anoniem: GPT wordt niet ondersteund om Windows op te installeren

Er zijn een aantal hacks waardoor dit ogenschijnlijk wel kan. Hybrid MBR en DUET zijn er twee van.

De eerste heeft als nadelen dat hij omschreven staat als gevaarlijk en dat Windows het GPT-deel niet ziet.

De tweede doet het systeem lijken op een EFI-systeem, maar schijnt erg moeilijk te zijn om op te zetten. Bovendien werkt het alleen met x64 vanaf Vista en later.
07-05-2015, 20:40 door Anoniem
http://computerworld.nl/beveiliging/86128-welk-land-maakte-deze-enge-malware
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.