Trojaner Rombertik: Vorsicht bei Windows-Mails mit Dateianhang

Der Trojaner Rombertik tarnt sich als Dateianhang einer augenscheinlich von Microsoft stammenden E-Mail. Auf infizierten System kann er durch Überschreiben des Master Boot Record für einen Datenverlust sorgen. E-Mails mit “Windows” als Absender und Dateianhang sollten genauestens geprüft werden.

Es wurde ein neuer Trojaner namens Rombertik entdeckt, der sich über gefälschte E-Mails von Microsoft verbreitet. Wer den Dateianhang der augenscheinlich von dem Windows-Macher stammenden Nachricht öffnet, infiziert sich mit der Schadsoftware und verliert unter Umständen all seine Daten. Deshalb sollte man aktuell Microsoft-Mails mit “Windows” als Absender und Anhang genauestens prüfen und im Zweifelsfall besser nicht öffnen.

(Bild: Cisco Talos)

Das Schadprogramm dient dem Diebstahl von Nutzerdaten und Passwörtern, die Rombertik in verschlüsselter Form unter anderem an die Domain http://www.centozos.org.in sendet. Bemerkenswert ist die Sofwarte wegen seiner aufwändigen Verschleierungsmechanismen. Die Malware ist nämlich eigentlich nur 28 KByte groß, kommt aber in einem 1264-KByte-Paket. Mehr als 97 Prozent sind nicht genutztes Tarnmaterial – darunter 75 Bilder und 8000 nie aufgerufene Programmfunktionen.

Um intelligente Erkennungssysteme für Sandbox-Umgebungen zu täuschen, schreibt Rombertik insgesamt 960 Millionen Mal ein einzelnes Byte in den Speicher, bevor er versucht, aus der Sandbox auszubrechen. Würde er in der vergehenden Zeit vollständig inaktiv bleiben, wie dies bisher oft praktiziert wird, würde gerade das Verdacht erregen. Droht der Rombertik-Trojaner trotzdem entlarvt zu werden, greifen Abwehrtechniken, die eine Erkennung der Schadsoftware verhindern sollen.

Im Gegensatz zu vielen Medienberichten, die auf eine etwas ungünstige Analyse von Ciscos Sicherheitsabteilung reagierten und Rombertik unter anderem als “Selbstmordattentäter” beschrieben, kann die Software nicht den befallenen “Computer zerstören”. Auch die Festplatte wird von der Malware nicht zerstört oder der Computer unbrauchbar gemacht, wenn der Anwender einen Virenscan durchführt. Wird Rombertik enttarnt, kann er unter anderem aber für einen Datenverlust sorgen, falls kein Backup vorliegt. Die Schadsoftware versucht nämlich den Master Boot Record einer Festplatte zu überschreiben und einen Neustart zu erzwingen, der dann von dieser Platte nicht mehr möglich ist. Eine Wiederherstellung der Daten wird dadurch erschwert. Klappt dies nicht, da nicht genügend Rechte vorliegen, versucht er die Dateien zu verschlüsseln.

(Bild: Cisco Talos)

Vor dem Befall mit Rombertik können sich Anwender wie so oft durch gesunden Menschenverstand und eine gewisse Vorsicht schützen. Der Virus wird wie erwähnt als angeblich von Microsoft stammender Dateianhang des Formates PDF versandt. Wer den Absender genau prüft, solchen Anhängen grundsätzlich misstraut und einen aktuellen Virenscanner installiert hat, muss sich vor der Schadsoftware im Grunde nicht fürchten. Unvorsichtigen Anwendern droht allerdings ein nur schwer wiederherstellbarer Datenverlust, in dessen Zug immerhin der Virus selbst ebenfalls gelöscht wird.

[Mit Material von Florian Kalenda, ZDNet.de]

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s