Anti-Analyse-Strategie: Schadsoftware löscht Windows-Systemdateien
Killer-Virus «Rombertik» macht PCs unbrauchbar
publiziert: Mittwoch, 6. Mai 2015 / 16:09 Uhr
«Rombertik» setzt auf blanke Zerstörung
San Jose - Sicherheitsforscher des Internetriesen Cisco haben eine Schadsoftware aufgespürt, die infizierte Computer nicht nur ausspioniert, sondern gleich völlig unbrauchbar macht.
Der entsprechende Virus namens «Rombertik» setzt dabei auf eine ausgeklügelte Strategie: Er versteckt sich in gefälschten geschäftlichen E-Mail-Attachments namhafter Firmen wie Microsoft und Co und liest, sobald diese geöffnet werden, persönliche User-Daten aus. Beim Start einer Anti-Viren-Analyse holt er dann zum Gegenangriff aus und löscht wichtige Systemdateien, ohne die Windows-PCs nicht funktionsfähig sind.
Einzigartiges Verhalten
«Diese Malware stiehlt willkürlich Daten, die von ihren Opfern auf verschiedenen Webseiten eingegeben werden», erklären die beiden Cisco-Forscher Ben Baker und Alex Chiu in einem Blogpost. Dazu gehören etwa Log-in-Informationen oder andere sensible persönliche Daten, die ausgelesen werden, solange der Virus unbemerkt bleibt. Seine eigentliche Stärke liegt aber in den Gegenmassnahmen, die er einleitet, wenn er entdeckt wird. «Rombertik ist einzigartig, indem er aktiv versucht, den Rechner zu zerstören, falls er gewisse Anzeichen einer Malware-Analyse registriert», betonen die Experten.
«Mir ist derzeit kein anderer Fall bekannt, wo ein Virus in der Art und Weise vorgeht, dass er Anti-Analysetechniken einsetzt, die soweit gehen, dass am Ende der Rechner des Betroffenen völlig unbrauchbar gemacht wird», stellt Stefan Ortloff, Security-Researcher beim Kaspersky Lab fest. Eigentlich sei ein derart destruktives Verhalten eher typisch für weitaus ältere Schadsoftware. «In der heutigen Zeit, in der sich das Malware-Geschäft zu einem eigenen Untergrund-Wirtschaftszweig entwickelt hat, macht so ein Vorgehen wenig Sinn. Wenn ein Computer sich nicht mehr nutzen lässt, können keine Daten mehr ausgelesen und damit auch kein Geld mehr verdient werden», so Ortloff.
Simpel aber effektiv
Die Vorgangsweise des Killer-Virus, der sich über Phishing-Mails beziehungsweise deren Attachments unbemerkt in den Rechnern seiner Opfer einnistet, ist simpel aber effektiv. In der ersten Phase verhält er sich wie viele andere Schädlinge auch und betätigt sich als Datenspion. «Spannend wird es, wenn ein Virenforscher versucht, ihn zu analysieren. Sobald er das entdeckt, löscht er den Master Boot Record und startet das System neu», schildert Ortloff. Die Konsequenz ist, dass der infizierte PC in einer Endlos-Bootschleife gefangen ist. Gelingt das nicht, verschlüsselt Rombertik die privaten User-Daten mit einem zufälligen RC4-Schlüssel, sodass sie unbrauchbar werden.
«Aus technischer Sicht ist besonders interessant, dass mehr als 97 Prozent dieses Virus aus vollkommen überflüssigem Code bestehen, der auch ausgeführt wird. Diese Taktik soll eine genauere Analyse noch zusätzlich erschweren», ergänzt der Kaspersky-Experte. Der Security-Researcher hat angesichts des Auftauchens von Rombertik einen wichtigen Tipp für alle User: «Wenn es um die Sicherheit von besonders wichtigen persönlichen Daten geht, ist es grundsätzlich ratsam, in regelmässigen Abständen Backups zu erstellen», so Ortloff abschliessend.
Einzigartiges Verhalten
«Diese Malware stiehlt willkürlich Daten, die von ihren Opfern auf verschiedenen Webseiten eingegeben werden», erklären die beiden Cisco-Forscher Ben Baker und Alex Chiu in einem Blogpost. Dazu gehören etwa Log-in-Informationen oder andere sensible persönliche Daten, die ausgelesen werden, solange der Virus unbemerkt bleibt. Seine eigentliche Stärke liegt aber in den Gegenmassnahmen, die er einleitet, wenn er entdeckt wird. «Rombertik ist einzigartig, indem er aktiv versucht, den Rechner zu zerstören, falls er gewisse Anzeichen einer Malware-Analyse registriert», betonen die Experten.
«Mir ist derzeit kein anderer Fall bekannt, wo ein Virus in der Art und Weise vorgeht, dass er Anti-Analysetechniken einsetzt, die soweit gehen, dass am Ende der Rechner des Betroffenen völlig unbrauchbar gemacht wird», stellt Stefan Ortloff, Security-Researcher beim Kaspersky Lab fest. Eigentlich sei ein derart destruktives Verhalten eher typisch für weitaus ältere Schadsoftware. «In der heutigen Zeit, in der sich das Malware-Geschäft zu einem eigenen Untergrund-Wirtschaftszweig entwickelt hat, macht so ein Vorgehen wenig Sinn. Wenn ein Computer sich nicht mehr nutzen lässt, können keine Daten mehr ausgelesen und damit auch kein Geld mehr verdient werden», so Ortloff.
Simpel aber effektiv
Die Vorgangsweise des Killer-Virus, der sich über Phishing-Mails beziehungsweise deren Attachments unbemerkt in den Rechnern seiner Opfer einnistet, ist simpel aber effektiv. In der ersten Phase verhält er sich wie viele andere Schädlinge auch und betätigt sich als Datenspion. «Spannend wird es, wenn ein Virenforscher versucht, ihn zu analysieren. Sobald er das entdeckt, löscht er den Master Boot Record und startet das System neu», schildert Ortloff. Die Konsequenz ist, dass der infizierte PC in einer Endlos-Bootschleife gefangen ist. Gelingt das nicht, verschlüsselt Rombertik die privaten User-Daten mit einem zufälligen RC4-Schlüssel, sodass sie unbrauchbar werden.
«Aus technischer Sicht ist besonders interessant, dass mehr als 97 Prozent dieses Virus aus vollkommen überflüssigem Code bestehen, der auch ausgeführt wird. Diese Taktik soll eine genauere Analyse noch zusätzlich erschweren», ergänzt der Kaspersky-Experte. Der Security-Researcher hat angesichts des Auftauchens von Rombertik einen wichtigen Tipp für alle User: «Wenn es um die Sicherheit von besonders wichtigen persönlichen Daten geht, ist es grundsätzlich ratsam, in regelmässigen Abständen Backups zu erstellen», so Ortloff abschliessend.
(bert/pte)
Digitaler Strukturwandel Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Um der steigenden Verbreitung manipulierter Inhalte entgegenzuwirken, haben sich Google, Meta und OpenAI der C2PA angeschlossen. Ihr Ziel ist es, Standards zu entwickeln, um authentische Inhalte von solchen zu unterscheiden, die mithilfe von Künstlicher Intelligenz erstellt wurden. mehr lesen
Publinews Die Paysafecard ist ein elektronisches Zahlungsmittel, das auf dem Prepaid-Prinzip basiert. Es ermöglicht ... mehr lesen
Publinews Die Zeit von 123456 als populärstem Passwort scheint vorbei zu sein. Laut der 2023er Umfrage von Bitkom verwenden drei ... mehr lesen
Der Bundesrat hat am ein Massnahmenpaket zur Förderung eines Schweizer Datenökosystems verabschiedet. Das Ziel des Datenökosystems ist es, das ... mehr lesen
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler. Source: http://www.news.ch/ajax/top5.aspx?ID=861&col=COL_2_1
eGadgets Die Kopfhörer für erholsamen Schlaf Schlafstörungen sind ein weit verbreitetes Problem. ...
-
23:10
Schweizer Esprit-Läden sind konkurs -
18:33
Warum Lachen gesund ist -
17:26
«Lichtblick» - Fotografien politischer Bewegungen in den 1970ern und heute -
15:35
Briefmarkensammeln: Ein Hobby für alte Leute? -
14:59
Bundesrat belässt Zinsen für Covid-19-Kredite unverändert -
16:10
Heilung der Augen mit Kontaktlinsen -
17:16
SpaceX errichtet Spionagenetz «Starshield» für US-Militär -
16:51
Handelsbilanz mit einem Überschuss von 2,2 Mrd. Fr. -
16:35
Personal effektiver planen dank digitaler Zeiterfassung -
16:50
2022 lag der Durchschnittslohn bei 6788 Franken - Letzte Meldungen
- Freie Stellen aus den Berufsgruppen Bewachung, Kontrolle, Sicherheit, Testing, Audit, Security, Datenbank Spezialisten, Entwicklung, Netzwerk Spezialisten, Engineers, Software Programmierung
- IT Security Officer
Mägenwil - Das erwartet dich Du wirst für die Planung und das Management des Rollouts von Security Hardware... Weiter - Frontend Software Engineer
Mägenwil - Das erwartet dich Das selbständige Umsetzen von Frontend-Applikationen für unseren komplett inhouse... Weiter - Java Software Engineer
Mägenwil - Das erwartet dich Im Fokus steht die kontinuierliche Weiterentwicklung von unseren komplett inhouse... Weiter - (Junior) System Engineer
Mägenwil - Das erwartet dich Du bist verantwortlich für Weiterentwicklung, Installation, Betrieb, Wartung und... Weiter - ERP Developer
Mägenwil - Das erwartet dich Im Fokus steht die kontinuierliche Weiterentwicklung unseres ERP Systems Du... Weiter - IT Cross-Platform Client Engineer
Baden-Daettwil - DECTRIS ist ein erfolgreiches und wachsendes Hightech-Unternehmen, welches Röntgen- und... Weiter - Spezialist Arbeitssicherheit & Brandschutz 60 - 100% (m/w/d)
Langenthal - Die KADI AG, Langenthal gehört zu den führenden Schweizer Herstellern qualitativ hochwertiger... Weiter - Chief Information Security Officer
Allschwil - Ihre Aufgaben Sie sind verantwortlich für die Definition, Umsetzung und kontinuierliche... Weiter - Junior NetzwerktechnikerIn (w/m/d) 80-100%
Zürich - Aufgaben: Inbetriebnahme und bei Bedarf Austausch von Netzwerkgeräten an den Bürostandorten,... Weiter - Network Security Engineer (w/m/d) 80-100%
Zürich - Aufgaben: Erstellen, Weiterentwickeln und Dokumentieren von Konzepten, Architekturen und... Weiter - Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler. Source: http://www.auktionen.ch/ajax/top5.aspx?ID=0&col=COL_3_1
Möchten Sie zu diesen Themen eine eigene
Internetpräsenz aufbauen?
www.betroffenen.ch www.konsequenz.swiss www.analysetechniken.com www.vorgangsweise.net www.spannend.org www.verhalten.shop www.datenspion.blog www.phishing.eu www.auftauchens.li www.researcher.de www.webseiten.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Internetpräsenz aufbauen?
www.betroffenen.ch www.konsequenz.swiss www.analysetechniken.com www.vorgangsweise.net www.spannend.org www.verhalten.shop www.datenspion.blog www.phishing.eu www.auftauchens.li www.researcher.de www.webseiten.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Heute | Fr | Sa | |||
Zürich | 0°C | 12°C | |||
Basel | 5°C | 14°C | |||
St. Gallen | 1°C | 9°C | |||
Bern | 0°C | 11°C | |||
Luzern | 1°C | 12°C | |||
Genf | 5°C | 13°C | |||
Lugano | 6°C | 10°C | |||
mehr Wetter von über 8 Millionen Orten |
- Die Wertvollsten Spieler im Fussball: Aktuelle Top-Stars
- Die verborgenen Taktiken der Fussballmannschaften
- Superfoods für Fussballer: Welche Nahrungsmittel steigern die Ausdauer und Leistung auf dem Feld?
- Jenseits der Top-Clubs: Die Seele des Fussballs in kleinen Vereinen
- So gestalten Sie eine unvergessliche Fussballparty
- Der emotionale Aufstieg: Wie Fans die Siege ihres Teams hautnah erleben
- Lost in Translation: Herausforderungen bei der Übertragung von Fussballbegriffen ins Schweizerdeutsche
- Mehr Fussball-Meldungen
- Schweizer Esprit-Läden sind konkurs
- Handelsbilanz mit einem Überschuss von 2,2 Mrd. Fr.
- Stress am Arbeitsplatz: Wie man Warnsignale erkennt und wirksame Gegenmassnahmen ergreift
- 2022 lag der Durchschnittslohn bei 6788 Franken
- Fingerfood und Cocktails im Fokus der Wirtschaft: So beeindrucken Sie Ihre Geschäftspartner
- TripAdvisor: Britische Restaurants in der Schweiz beliebter als österreichische
- Vom Traum zur Wirklichkeit: Die Reach Goals-Methode
- Weitere Wirtschaftsmeldungen
- Die Kopfhörer für erholsamen Schlaf
- Der Renault 5 kommt zurück - diesmal elektrisch
- Makerspaces: Orte der Kreativität und Innovation
- 13,3% der Erwerbstätigen verwenden bei ihrer Arbeit nie digitale Geräte
- Paysafecard - so funktioniert das elektronische Zahlungsmittel
- BYD: Der chinesische Elektroauto-Gigant ist auf dem Weg
- Inmitten der Digitalisierung: Wie Technologie das Entertainment verändert hat und was vor uns liegt
- Letzte Meldungen
- Durchbruch bei der Wasserstoffproduktion
- Uhren für Klimaaktivisten: ID Genève setzt voll auf Nachhaltigkeit
- Revolutionäre Energiespeicher: Superkondensator aus Zement, Wasser und Russ
- «co-operate»: Modell für klimagerechtes Bauen
- Schweizer Finanzplatzakteure entwickeln gemeinsam die Net-Zero Data Public Utility
- Tesla baut neue Mega-Factory in Shanghai
- domains.ch zieht um ins Rechenzentrum Ostschweiz
- Letzte Meldungen
- Seminare zum Thema Datenschutz
- Der betriebliche Datenschutzverantwortliche - DATV
- Workshop zu Sicherheit und Datenschutz - SIDA
- EU Datenschutzverordnung - DATS
- Ethik & Datenschutz in der Digitalen Transformation - KIED
- 21. Berner Tagung für Informationssicherheit After the Breach
- ISSS Security Talk: Darknet - Einblick in den digitalen Untergrund“
- Datenschutz, insbesondere Datensicherung
- DSGVO - Datenschutz-Grundverordnung der Europäischen Union
- CDPSE-Vertiefungskurs 2023: Ausbildung zertifizierter Datenschutz-Entwickler für internationales Zertifikat (ISACA)
- CDPSE-Prüfungsvorbereitungskurs 2023: zertifizierter Datenschutz-Entwickler (internationales Zertifikat)
- Weitere Seminare