Virusul care iti distruge calculatorul


unnamedUn nou tip de malware descoperit de cei de la Cisco Systems poate distruge efectiv un calculator, in cazul in care este detectat in timpul controalelor de securitate, ne spun cei de pe MegaHost.

Malware-ul, denumit Rombertik, este conceput pentru a intercepta orice text introdus intr-o fereastra de browser web. Raspandirea se face prin intermediul mesajelor de tip spam sau phishing.

Dupa ce este instalat pe un computer cu Windows, Rombertik face cateva verificari pentru a vedea daca a fost detectat. Acest tip de comportament nu este neobisnuit pentru anumite tipuri de malware, dar Rombertik “este unic prin faptul ca incearca in mod activ sa distruga computerul, in cazul in care detecteaza anumite comportamente asociate cu detectarea de malware”.

Ultima verificare pe care o face Rombertik este si cea mai periculoasa. Acesta compileaza un hash pe 32 de biti a unei resurse in memorie, si in cazul in care resursa respectiva sau data compilarii au fost modificate, Rombertik declanseaza procesul de auto-distrugere.

Prima tinta vizata este Master Boot Record (MBR), primul sector de pe hard disk pe care computerul il acceseaza pentru a incarca sistemul de operare. Daca Rombertik nu are acces la MBR, distruge efectiv toate fisierele din folderul home al utilizatorului, criptand fiecare fisier in parte cu o cheie RC4 aleatoare.

Odata ce sectorul MBR este corupt sau folderul home este criptat, computerul reporneste. Astfel, MBR intra intr-o bucla infinita care impiedica computerul sa booteze, iar pe ecran apare mesajul “Carbon crack attempt, failed.”

carbon-copy-wm

Atunci cand este instalat pe un calculator, acesta se dezarhiveaza. In jur de 97% din continutul dezarhivat este conceput pentru a arata legitim si este compus din 75 de imagini si 8.000 de functii care nu sunt utilizate niciodata.

“Acest tip de compresie incearca sa copleseasca analistii prin faptul ca este imposibil ca acestia sa analizeze fiecare functie in parte”.

De asemenea, malware-ul incearca sa evite sandboxing-ul (sau practica de izolare a codului) pana cand perioada de testing a trecut. Unele malware-uri sunt concepute in asa fel incat sa astepte “cuminti” in sandbox, sperand ca perioada de sandboxing va expira si vor putea sa-si indeplineasca sarcinile.

Cu toate acestea, Rombertik ramane activ si in perioada de sandboxing si scrie cate un octet de date in memorie de 960 de milioane de ori, ceea ce complica munca instrumentelor de analiza.

“Daca un instrument de analiza ar incerca sa logheze toate cele 960 de milioane de biti, logul va ajunge la o dimensiune de peste 100 de gigabytes.

Toate articolele sunt pe InstalareWindowsCluj.wordpress

Daca esti nou, da un Like paginii de facebook instalarewindowscluj

About WindowsCluj

Pasionat de calculatoare

Posted on 14 Mai 2015, in Programe 3, Securitate. Bookmark the permalink. 2 comentarii.

  1. Intr-adevar un articol interesant, cu informatii foarte pretioase si folositoare.

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s