Rombertik: Spionage-Malware zündet bei Beobachtung eine Bombe

Sicherheit, Hacker, Netzwerk Bildquelle: Axel Schwenke / Flickr
Eine neu entdeckte Malware sorgte bei Sicherheitsforschern für eine ordentliche Überraschung. Anfangs nahm man an, dass die erkannten Symptome auf einen gewöhnlichen Schädling zurückgehen. Als man sich allerdings an die Untersuchung des Eindringlings machen wollte, begann dieser aktiv gegenzufeuern.
Die Malware, die von ihren Entdeckern "Rombertik" getauft wurde, nistet sich auf einem Rechner ein, wenn der Nutzer eine Phishing-Nachricht öffnet und den enthaltenen Link anklickt. Der Schädling nutzt dann eine ungepatchte Sicherheitslücke aus, um Zugang zum System zu bekommen. Bei der Mitteilung handelt es sich vermeintlich um eine Nachricht von Microsoft.

Analyse der Rombertik-MalwareAnalyse der Rombertik-MalwareAnalyse der Rombertik-MalwareAnalyse der Rombertik-Malware

Gelingt es Rombertik, auf einem System aktiv zu werden, verhält er sich weitgehend unauffällig. Im Hintergrund wird das Geschehen auf dem Rechner allerdings überwacht - das gilt vor allem für Eingaben, die Nutzer auf Webseiten tätigen. Auf diesem Weg werden Login-Daten abgegriffen und letztlich nach Außen geschickt.

Tickende Zeitbombe

Die Einzigartigkeit der Malware zeigt sich allerdings dann, wenn man versucht, sie zu analysieren. Sobald die Sicherheitsexperten versuchten, den Schadcode mit ihren üblichen forensischen Verfahren zu analysieren, leitete Rombertik Gegenmaßnahmen ein. Werden bei der Überwachung der internen Prozesse Anzeichen für entsprechende Untersuchungen entdeckt, überschreibt die Malware den Master Boot Record und schickt das System in eine Reboot-Schleife.

Parallel dazu wird versucht, ein einzelnes Byte 960 Millionen Mal in den Speicher zu schreiben. Offenbar sollen Analysetools durch diesen massiven Aktivitätsausbruch von einer Analyse der sonstigen Aktivitäten Rombertiks abgelenkt werden. Laut den Security-Forschern von Cisco, die unter anderem mit der Analyse beschäftigt waren, ist es recht ungewöhnlich, dass eine Malware so reagiert. Denn normalerweise versuchen die Entwickler solcher Schädlinge eher ein mehrschichtiges Tarn-Konzept zu verwenden, um im Zweifelsfall zumindest Teile ihrer Malware vor der Entdeckung zu schützen und möglichst lange aktiv zu halten. Rombertik reißt sich hingegen inklusive des Systems selbst mit in den Abgrund und macht es nötig, den gesamten Rechner neu aufzusetzen. Spionage, Spion, Agent Spionage, Spion, Agent
Diese Nachricht empfehlen
Kommentieren24
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:45 Uhr Creative Sound Blaster Free tragbarer Bluetooth-Lautsprecher
Creative Sound Blaster Free tragbarer Bluetooth-Lautsprecher
Original Amazon-Preis
69,18
Im Preisvergleich ab
61,05
Blitzangebot-Preis
47,89
Ersparnis zu Amazon 31% oder 21,29

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden