Rombertik: Spionage-Malware zündet bei Beobachtung eine Bombe

Die Malware, die von ihren Entdeckern "Rombertik" getauft wurde, nistet sich auf einem Rechner ein, wenn der Nutzer eine Phishing-Nachricht öffnet und den enthaltenen Link anklickt. Der Schädling nutzt dann eine ungepatchte Sicherheitslücke aus, um Zugang zum System zu bekommen. Bei der Mitteilung handelt es sich vermeintlich um eine Nachricht von Microsoft.


Gelingt es Rombertik, auf einem System aktiv zu werden, verhält er sich weitgehend unauffällig. Im Hintergrund wird das Geschehen auf dem Rechner allerdings überwacht - das gilt vor allem für Eingaben, die Nutzer auf Webseiten tätigen. Auf diesem Weg werden Login-Daten abgegriffen und letztlich nach Außen geschickt.

Tickende Zeitbombe

Die Einzigartigkeit der Malware zeigt sich allerdings dann, wenn man versucht, sie zu analysieren. Sobald die Sicherheitsexperten versuchten, den Schadcode mit ihren üblichen forensischen Verfahren zu analysieren, leitete Rombertik Gegenmaßnahmen ein. Werden bei der Überwachung der internen Prozesse Anzeichen für entsprechende Untersuchungen entdeckt, überschreibt die Malware den Master Boot Record und schickt das System in eine Reboot-Schleife.

Parallel dazu wird versucht, ein einzelnes Byte 960 Millionen Mal in den Speicher zu schreiben. Offenbar sollen Analysetools durch diesen massiven Aktivitätsausbruch von einer Analyse der sonstigen Aktivitäten Rombertiks abgelenkt werden. Laut den Security-Forschern von Cisco, die unter anderem mit der Analyse beschäftigt waren, ist es recht ungewöhnlich, dass eine Malware so reagiert. Denn normalerweise versuchen die Entwickler solcher Schädlinge eher ein mehrschichtiges Tarn-Konzept zu verwenden, um im Zweifelsfall zumindest Teile ihrer Malware vor der Entdeckung zu schützen und möglichst lange aktiv zu halten. Rombertik reißt sich hingegen inklusive des Systems selbst mit in den Abgrund und macht es nötig, den gesamten Rechner neu aufzusetzen.