Rombertik Trojaner: Eine neue gefährliche Malware

Die neue Malware Rombertik Trojaner spioniert Daten wie Passwörter über den Browser aus und wenn er glaubt enttarnt zu werden löscht dieser die Festplatte oder verschlüsselt die Daten darauf.
Das TALOS-Team von Cisco entdeckte diesen Schädling und konnte diesen erfolgreich untersuchen. Am Anfang war es schwierig diese Schadsoftware zu analysieren da der Trojaner sich geschickt tarnt.

Diagramm zur Funktion vom Rombertik Trojaner (Quelle Bild: TALOS-Cisco)

Das Bild zeigt ein Diagramm zur Funktion des Trojaners Rombertik. (Quelle Bild: TALOS-Cisco)

Im Blogeintrag von den TALOS IT Sicherheitsforschern bei Cisco wird beschrieben das der Trojaner über 97 Prozent aus unnützen Code besteht. Einerseits sind es Bilder und über 8000 überflüssigen Funktionen, mit der versucht wird die Malware zu tarnen und eine Analyse zu erschweren. So wird vom Trojaner Rombertik zum Beispiel 960 Millionen an zufälligen Daten in den Arbeitsspeicher geschrieben, die von Analyse Werkzeugen protokolliert werden und mehrere hunderte Gigabyte an Daten auflaufen lassen.

Was macht der Rombertik Trojaner genau?

Nachdem Rombertik sich im System eingenistet hat überprüft dieser die Umgebung ob Gefahr droht. Ist alles ok wird die eigentliche Schadsoftware aktiv. Dann fängt der Trojaner an die Daten aus dem Browser abzufangen. Es spielt hierbei keine Rolle ob es der Internet Explorer, Google Chrome oder Firefox ist.
Ihre Online Aktivität wird von nun an überwacht vom Rombertik Trojaner – sei es E-Mails, Online-Banking-Transaktionen, Kreditkartendaten bis hin zu Passwörtern. Die vom Trojaner gesammelten Daten werden dann unverschlüsselt an die URL centozos.org.in gesendet.
Sollte der Malware eine Entdeckung durch Antivirus Software drohen, so werden der MBR (Master Boot Record) und die Partitionstabellen der Festplatte gelöscht bzw. überschrieben. Im Gegensatz zu anderen Berichten zum Rombertik Trojaner, wird hier nicht die Festplatte zerstört, sondern nur die Daten darauf unbrauchbar gemacht.
Eine Datenwiederherstellung ist zwar nicht unmöglich, wird aber dadurch sehr erschwert. Für den Fall das dies fehlschlägt, weil die Rechte für die Aktion fehlen, werden die Dateien im Benutzerverzeichnis verschlüsselt. Der Trojaner generiert hierfür einen RC4-Schlüssel. Der PC wird nach der Aktion direkt neu gestartet.

Wie kann ich mich mit der Malware infizieren bzw. wie bekomme ich die?

Der Trojaner findet seinen Weg auf dem Computer per E-Mail als Anhang. Hierbei wird die Malware als PDF-Datei getarnt. Nur ist es keine PDF File, sondern eine ausführbare Datei in Form eines Screensaver (*.scr).

Screenshot von einer Mail die den Rombertik Trojaner enthält (Quelle Bild: TALOS-Cisco)

Screenshot von einer Mail die den Rombertik Trojaner enthält (Quelle Bild: TALOS-Cisco)

Kann ich mich davor schützen?

Ja das ist möglich. Einfach seine Antiviren Software immer aktuell halten, denn diese kann die Malware erkennen und den Computer davor schützen. Zum Beispiel erkennen Antivirus Lösungen von Kaspersky den Rombertik Trojaner und ich denke, dass auch andere Hersteller, mit Sicherheit ihre Antivirus Signaturen entsprechend aktualisiert haben.

Zum Schluss bleibt nur zur sagen, das man immer regelmäßig eine Datensicherung machen sollte und auch keine E-Mails zu öffnen, deren Absender man nicht kennt. Dann ist man auch vor diesen Schädling gut geschützt.

 

Schreibe einen Kommentar


banner