image

Malware wist harde schijf als kopieerbeveiliging

dinsdag 19 mei 2015, 10:42 door Redactie, 1 reacties

Begin mei ontstond er enige ophef over een nieuw malware-exemplaar genaamd Rombertik dat bij analyse de Master Boot Record (MBR) van de harde schijf wiste en de partitie met 'null bytes' overschreef zodat alle aanwezige data verloren ging. In eerste instantie werd gedacht dat het om een maatregel ging om beveiligingsonderzoekers te dwarsbomen, maar volgens Symantec gaat het om een kopieerbeveiliging.

Rombertik is een nieuwe variant van de Carbon FormGrabber, ook bekend als Carbon Grabber. Het gaat om een malware-kit die op zwarte markten wordt aangeboden en bedoeld is voor cybercriminelen die niet in staat zijn om hun eigen malware te schrijven. Om illegaal gebruik van de malware tegen te gaan hebben de makers een kopieerbeveiliging toegevoegd, zodat hun creatie niet zonder geldige licentie is te gebruiken. Elke versie van Rombertik is namelijk voor een specifieke gebruiker gemaakt en gelicenseerd. Ook maakt de malware verbinding met een vooraf ingestelde Command & Control-server.

Een illegale gebruiker zou het adres van de server kunnen wijzigen, zodat de malware met een ander adres verbinding maakt en daar de gestolen gegevens naar toe stuurt. Om dit te voorkomen zal na de wijziging van het adres de kopieerbeveiliging actief worden. Daarbij toont de malware ook een bericht aan de softwarepiraat dat de kraakpoging is mislukt. Symantec concludeert dan ook dat het niet een maatregel is om onderzoekers te dwarsbomen, maar om klaplopers te straffen die denken de malware kosteloos te kunnen gebruiken.

Reacties (1)
19-05-2015, 10:51 door Anoniem
Geboefte dat optreedt tegen geboefte. U moet niet de kluit belazeren, want daar houden wij niet van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.