Sicherheitsforscher haben eine neue Malware entdeckt, die außergewöhnliche Maßnahmen anwendet, um sich der Analyse zu entziehen. Rückt man der Schadsoftware auf den Pelz, verändert sie die Daten auf der Festplatte, um damit den Computer unbenutzbar zu machen.

Rombertik wurde die Malware von den Forschern von Talo, einer Sicherheitsforschungsgruppe von Cisco Systems genannt. Sie sammelt wahllos Daten, die der Benutzer in den Browser eingibt, vermutlich um Benutzer-Logins auszunutzen. Die Malware installiert sich durch einen Klick auf einen E-Mail-Anhang.

97% des Programmcodes sind dafür gedacht, den Virus als harmloses Programm erscheinen zu lassen. Dabei sind 8.000 Funktionen definiert, die jedoch nie zur Anwendung kommen. Auch werden in der Malware extensive Schreibzugriffe auf den Arbeitsspeicher ausgeführt. Der Grund dafür ist, dass ein Logging der Aktivitäten somit praktisch unmöglich wird, denn jede Sekunde würden 100 GB anfallen.

Die Forscher entdeckten, dass sich der Schädling durch viele Maßnahmen der Analyse entziehen will. Es gibt auch eine Anti-Analyse-Funktion, die einen Hashwert des Programms im Speicher ablegt. Wird nun der Schädling im Zuge der Analyse auch nur byteweise geändert oder ändert sich die Compilezeit, löscht sich die Malware und macht Festplattendaten unbrauchbar.

Als erster Versuch der Schadsoftware wird der MBR überschrieben, so der Schädling die Rechte dazu hat. Ist dies nicht möglich, versucht die Malware, alle Dateien im Home-Verzeichnis des Users zu shredden. Dabei werden die einzelnen Dateien mit einem zufällig erstellten Wert mit dem RC4-Verfahren verschlüsselt. Danach wird der Computer neu gestartet.

In dem Master-Boot-Record ist der Anfangswert für den Start des Betriebssystems gespeichert. Ebenso ist die Aufteilung der Festplatten in einzelne Partitionen dort fixiert.

Gelingt der Malware die Zerstörung der Daten, wird beim Reboot folgender Text angezeigt: „Carbon crack attempt, failed“.

Artikel von arstechnica.com vom 04.05.2015: Super secretive malware wipes hard drive to prevent analysis
Artikel von pcworld.com vom Mai 2015: This terrifying malware destroys your PC if detected