Het is bekend dat malwaremakers allerlei trucs uithalen om analyse van hun creatie te voorkomen, maar een nieuw exemplaar gaat wel heel erg ver en "vernietigt" de Master Boot Record (MBR) van de harde schijf, waardoor de computer niet meer kan opstarten. Dat laten onderzoekers van Cisco weten.
De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. De nu ontdekte Rombertik-malware richt zich op de MBR in het geval van analyse. De malware verspreidt zich via e-mailbijlagen en doet zich voor als een PDF-bestand. In werkelijkheid gaat het echter om een SCR-bestand dat de malware is.
Zodra gebruikers de bijlage openen controleert Rombertik eerst of het binnen een sandbox draait. Sandboxes worden vaak door onderzoekers gebruikt om malware te analyseren en het komt regelmatig voor dat malware op de aanwezigheid van dit soort analyseomgevingen controleert. In het geval er geen sandbox wordt aangetroffen wordt de installatie voortgezet. Rombertik is ontwikkeld om wachtwoorden uit browsers te stelen.
Voordat het dit doet wordt er nog een laatste controle uitgevoerd om te controleren dat de malware niet via het geheugen wordt geanalyseerd. Als deze controle mislukt slaat Rombertik toe en vernietigt de MBR en overschrijft de partities met "null bytes", zodat het herstellen van data van deze partities lastig wordt. De MBR wordt verder zo aangepast dat de computer in een oneindige herstartloop terechtkomt. Als de malware geen permissies heeft om de MBR te overschrijven zal het alle bestanden van de gebruiker in de home directory overschrijven en versleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.