Có gì mới?

Welcome to Tạp Chí CNTT & Truyền Thông

Join us now to get access to all our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, and so, so much more. It's also quick and totally free, so what are you waiting for?

Xuất hiện malware Rombertik mới tấn công ổ cứng và xóa MBR

  • Thread starter nguyenac
  • Ngày bắt đầu
  • Tagged users Không có

nguyenac

Administrator
Staff member
Tham gia
18/11/08
Bài viết
23,098
Điểm tương tác
6
Điểm
38
Website
tapchiict.com
Công nghệ Hệ thống Diệt Virus - Spyware

Cuộc chiến giữa tội phạm mạng và giới bảo mật đã bước sang một giai đoạn mới với sự xuất hiện của Rombertik, một malware (mã độc) mới có khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web đồng thời sẽ tấn công và ghi đè lên MBR (master boot record) ổ cứng máy tính để xóa dấu vết nếu bị phần mềm bảo mật phân tích.

Lộ diện biến thể virus máy tính mới có thể tự hủy khi bị phát hiện


Vấn đề đáng nói của malware mới nằm ở phương thức chống sự phát hiện của phần mềm bảo mật. Đội phản ứng với nguy cơ bảo mật của Cisco cho biết sau khi lây nhiễm vào máy tính người dùng, Rombertik sẽ chạy một loạt bước kiểm tra chống phân tích xem có đang chạy trong sandbox (tạm dịch hộp cát) của môi trường ảo hay không trước khi giải mã và có những hành động kế tiếp.

Infographic bên dưới cho thấy cách thức hoạt động của Rombertik. Theo phân tích của Cisco, 97% dữ liệu đóng gói trong tập tin là thông tin về hình ảnh và tính năng không được sử dụng mà chỉ để mã độc này có dung lượng trông giống thực tế hơn.



Rombertik bắt đầu bằng việc ghi đến 960 triệu byte ngẫu nhiên vào bộ nhớ để để “làm ngập” tập tin log hệ thống với 100GB dữ liệu rác. Kế tiếp, malware này sẽ kiểm tra chống phân tích xem có đang chạy trong trong môi trường ảo hay không.

Nếu không nằm trong môi trường hạn chế (virtual machine), Rombertik sẽ giải mã, tạo bản sao và khởi chạy các lệnh cần thực thi. Các lệnh thực thi này không cố định và được làm rắc rối với một số lệnh không cần thiết nhằm đánh lạc hướng chuyên gia bảo mật phân tích, dò tìm lại các bước phá hoại của Rombertik.

Nếu phát hiện đang chạy trong môi trường ảo sandbox, Rombertik sẽ tìm cách truy cập và ghi đè lên MBR ổ cứng bằng byte rỗng (null byte) hoặc mã hóa toàn bộ dữ liệu trong thư mục C:\Documents and Settings\Administrator với thuật toán RC4 trong trường hợp không có quyền ghi lên MBR.

Việc ghi đè lên master boot record với các byte không có giá trị khiến việc khôi phục phân vùng hệ thống khó khăn hơn nhiều so với chỉ đơn giản là xóa thông tin master boot record này.

Rombertik là sự kết hợp giữa một mã độc truyền thống dùng để thu thập dữ liệu cá nhân khi người dùng duyệt web và cơ chế chống sự phát hiện của phần mềm bảo mật hoàn toàn mới. Dù không có nhiều thông tin về tác giả và mục tiêu thật sự của mã độc này, tuy nhiên với những kỹ thuật phức tạp trên cho thấy Rombertik có khả năng được sử dụng trong các hoạt động tình báo mạng và được dùng để tấn công có chủ đích vào một mục tiêu nào đó


Cập nhật: 11/05/2015 Theo Tinh Tế

Xem thêm: malware Rombertik Cisco master boot record



  • Trojan-Downloader_Win32_Agent.nmi



  • Điện thoại di động nào nhiễm virus nhiều nhất?



  • Các hãng bảo mật cần 17 giờ để diệt một virus mới



  • Phòng tránh virus wmpscfgs.exe



  • Virus moi tiền người dùng điện thoại



  • Lịch sử Spyware, Adware và cơ chế phát tán


Nguồn : QTM
 

Facebook Comment

Similar threads

Synology vừa chính thức phát hành DiskStation Manager (DSM) 7.0 và mở rộng đáng kể nền tảng Synology C2 với bốn dịch vụ đám mây mới, với những cải tiến lớn về khả năng bảo mật, quản lý hệ thống và khả năng cộng tác dữ liệu cho các dòng sản phẩm NAS và SAN của Synology. Dựa trên sự thành công...
Trả lời
0
Xem
274
Ngày 23/6/2021, tại Nam Định, Tập đoàn và UBND tỉnh Nam Định đã ký kết thỏa thuận hợp tác chiến lược về Công nghệ thông tin - Viễn thông giai đoạn 2021 - 2025 với 4 nội dung trọng tâm. Nam Định đã hoàn thành mục tiêu xây chính quyền điện tử Trong giai đoạn 2014 - 2020, Tập đoàn VNPT và UBND...
Trả lời
0
Xem
124
Nhiều năm bị Apple tìm cách phá thế độc quyền trên PC, giờ đây đến lượt Microsoft nhắm vào mảnh đất độc quyền của đối thủ sừng sỏ. Trong kế hoạch ban đầu, Windows 11 dường như là một bản cập nhật ổn định cho một trong những hệ điều hành phổ biến nhất thế giới PC. Điều đầu tiên đập vào mắt người...
Trả lời
0
Xem
197
Hơn 8,4 tỷ mật khẩu trên thế giới bị rò rỉ Giữa tháng 6, cộng đồng mạng được phen xôn xao khi tập tin văn bản nặng 100GB và chứa 8,4 tỷ mật khẩu của người dùng Internet trên toàn cầu đã bị đăng tải trên một diễn đàn tin tặc nổi tiếng. Theo thông tin từ Cyber News, bộ sưu tập mật khẩu khổng lồ...
Trả lời
0
Xem
89
Thời gian gần đây, ngành hàng không vũ trụ Trung Quốc liên tục cho thấy những kết quả tích cực. Tháng 5, tàu thăm dò Chúc Dung hạ cánh thành công trên sao Hỏa, khiến Trung Quốc trở thành quốc gia thứ hai sau Mỹ làm được điều này. Ba phi hành gia Trung Quốc vừa được đưa lên trạm vũ trụ Thiên...
Trả lời
0
Xem
180

Latest resources

Bên trên Bottom