17/09/2018, 22:18

Mã độc Rombertik phá hủy ổ cứng nhằm tránh bị phát hiện

Các nhà nghiên cứu bảo mật vừa phát hiện một chủng phần mềm độc hại mới có tên là Rombertik, có khả năng tránh các phần mềm chống virus phát hiện, phân tích và khiến máy tính bị nhiễm không thể sử dụng được. Phần mềm độc hại này là mẫu mã độc duy nhất có khả năng tự hủy với các kỹ thuật độc ...

rombertik

Các nhà nghiên cứu bảo mật vừa phát hiện một chủng phần mềm độc hại mới có tên là Rombertik, có khả năng tránh các phần mềm chống virus phát hiện, phân tích và khiến máy tính bị nhiễm không thể sử dụng được.

Phần mềm độc hại này là mẫu mã độc duy nhất có khả năng tự hủy với các kỹ thuật độc đáo của nó. Ngay khi phát hiện công cụ phân tích bất kỳ, Rombertik sẽ cố gắng xóa Master Boot Record (MBR) của thiết bị và các thư mục bên trong, khiến máy tính ngay lập tức phải khởi động lại. Nói cách khác, Rombertik chính là một phần phức tạp trong các phần mềm gián điệp, được thiết kế để thu thập mọi thông tin, dữ liệu từ người dùng trực tuyến. Từ đó, thu thập thông tin đăng nhập và các thông tin bí mật khác của nạn nhân.

Rombertik thường được cài đặt trên các máy chứa lỗ hổng, sau khi người dùng nhấp chuột vào các file đính kèm chứa trong email lừa đảo. Sau khi xâm nhập hệ thống máy tính, Rombertik sẽ chạy một loạt các kiểm tra chống phân tích để xác định nếu nó đang khởi chạy trong một sandbox. Trong trường hợp không chạy trong sandbox, Rombertik sẽ giải mã và tự cài đặt trên máy tính nạn nhân, sau đó cho phép phần mềm độc hại khởi tạo một bản sao thứ hai của chính nó và ghi đè lên nhằm thực hiện chức năng gián điệp.

Sau khi hoàn thành quá trình này và trước khi bắt đầu thực hiện gián điệp trên người dùng, Rombertik sẽ chạy một lượt kiểm tra cuối cùng để đảm bảo nó không bị phân tích trong bộ nhớ. Trong trường hợp tìm thấy bất kỳ dấu hiệu nào đang bị phân tích, phần mềm này sẽ cố gắng tiêu diệt MBR của máy tính, nhằm xóa dấu vết. Khi đó, MBR đã bị xóa mất khỏi ổ cứng và máy tính của nạn nhân sẽ khởi động lại liên tục và không thể dừng quá trình này lại được.

R2

MBR chính là sector đầu tiên của ổ đĩa cứng máy tính mà hệ thống tìm kiếm trước khi nạp hệ điều hành. Tuy nhiên, việc xóa hoặc phá hủy MBR liên quan đến việc tải cài đặt của hệ điều hành, có nghĩa là dữ liệu có giá trị nhất đã bị mất. Bất cứ khi nào Rombertik có nguy cơ bị phân tích và phát hiện, nó sẽ tự hủy, kèm theo đó là nội dung của ổ đĩa cứng máy tính cũng biến mất theo.

Sau khi đối chiếu thiết kế của các phần mềm độc hại, các nhà nghiên cứu nhận ra rằng Rombertik chứa khối lượng lớn các mã rác cần được phân tích. Các mẫu Rombertik giải nén 28KB lưu lượng trong khi phiên bản đóng gói là 1264KB, bao gồm 75 file hình ảnh và 8 nghìn file chức năng không bao giờ sử dụng tới. Hơn nữa, Romnertik lưu giữ bản thân trong sandbox bằng cách việt một byte dữ liệu ngẫu nhiên vào trong bộ nhớ 960 triệu lần nhằm tránh bị phát hiện.

Cách tốt nhất để hệ thống của mình không bị lây nhiễm mã độc đó là người dùng cần lưu ý không nhấp chuột vào bất kỳ liên kết độc hại hay có nghi ngờ không an toàn thông qua các email lừa đảo. Khi gặp các vấn đề về mã độc cần liên hệ ngay với cá chuyên gia ANM, các dịch vụ ứng cứu máy tính để được hỗ trợ và giải quyết.

Theo THN

0