Pesquisadores do Grupo Talos Cisco Systems descobriram nesta semana um novo malware que toma medidas extremas para evitar sua análise e por consequencia detecção.
Ele apaga todos os dados do HD transformando seu belo PC em um computador inoperante até que você reinstale o sistema operacional do zero.
Rombertik, como o malware foi apelidado pelos pesquisadores, é uma peça complexa de software que recolhe indiscriminadamente tudo o que um usuário faz na Web, presumivelmente para obter credenciais de login e outros dados confidenciais.
Ele é instalado quando as pessoas clicam em anexos incluídos em e-mails maliciosos. Pesquisadores Talos aplicaram a engenharia reversa no software e descobriram que por trás das câmeras o Rombertik assume uma variedade de medidas para se proteger contra análise. Pois ele contém vários níveis de funções de ofuscação e anti-análise que tornam difícil para pessoas de fora para perscrutar o seu funcionamento interno. E em casos que o yfoye.exe (seu componente principal) detecta o malware está sob o microscópio de um pesquisador de segurança ou escritor de malwares rival, Rombertik se autodestrói, levando junto com ele o conteúdo do disco rígido da vítima.
Em um post publicado na segunda-feira , os investigadores da Talos, Ben Baker e Alex Chiu escreveram:
Uma vez que a versão descompactada de Rombertik dentro da segunda cópia do yfoye.exe começa a executar, uma última função anti-análise é executada, o que acaba por ser particularmente desagradável se o teste falhar. A função gerada calcula um hash de um recurso em memória de 32 bits, e compara com o PE Compilar Timestamp da amostra descompactado. Se o recurso ou tempo de compilação foi alterada, o malware age destrutivamente. Ele primeiro tenta substituir o Master Boot Record (MBR) do HD primário (PhysicalDisk0), o que torna o computador inoperante.
Se o malware não tiver permissão para substituir o MBR, ele ao invés de destruir todos os arquivos na pasta pessoal do usuário (por exemplo C: \ Documents and Settings \ Administrador \), vai criptografar cada arquivo com uma chave RC4 gerado aleatoriamente.
Depois que (ou) a MBR tenha sido substituída, ou a pasta base tenha sido criptografada, o computador é reiniciado.
O Master Boot Record começa com o código que é executado antes do sistema operacional. Quando o MBR é substituído, os dados são zerados e só fica na MBR um código para mostrar a mensagem “A tentativa de crackear o carbono, falhou”. Depois disso o computador entra em um loop infinito impedindo que o sistema continue iniciar.
O MBR também contém informações sobre as partições do disco. Quando o MBR é alterado aleatóriamente pelo malware, todos os bytes são substituidos e essas partições passam a ser registradas com bytes nulos, o que torna ainda mais difícil de recuperar os dados do disco rígido sabotado.
Uma vez que o computador tenha sido reiniciado, o computador da vítima vai ser preso nesta tela até que o sistema operacional seja reinstalado.
Efetivamente, Rombertik começa a se comportar como um malwares inteligente com auto defesa, destruindo o computador do usuário se ele detectar que está sendo analisado. Enquanto Talos observou anti-análise e técnicas de anti-depuração em amostras de malware no passado, Rombertik é o único em que tenta ativamente destruir o computador se detectar certos atributos associados a análise de malware.
Rombertik também usa uma variedade de formas menos destrutivas para manter seu funcionamento interno secreto. Para fugir das ferramentas sandbox que são usadas para observar malwares em ambientes controlados de laboratório, o programa repete 960 milhões de vezes a escrita de um byte de dados aleatórios, o que causa um atraso capaz até de impedir que os comportamentos do software sejam documentados com precisão.
“Se uma ferramenta de análise tentasse registrar todas as 960 milhões de instruções de escrita, o registro cresceria para mais de 100 GB. Mesmo que o ambiente de estudo fosse capaz de lidar com um log desse tamanho, levaria mais de 25 minutos só para gravar esses dados em um disco rígido típico. Isso complica tudo”, afirmam os pesquisadores.
“Se uma ferramenta de análise tentou fazer logon todas as instruções de 960 milhões de gravação, o registo iria crescer para mais de 100 GigaBytes”, explicaram os pesquisadores Talos. “Mesmo que o ambiente de análise foi capaz de lidar com um log tão grande, que levaria mais de 25 minutos apenas para escrever que muitos dados para um disco rígido típico. Isso complica a análise.”
Depois de entender como o malware funciona e conseguir impedir que ele perceba que está sendo estudado, os cientistas do Talos conseguiram observar a função real do Rombertik. Quando o software detecta que um usuário está usando um navegador como Firefox, Chrome ou Internet Explorer, ele se insere no processo de funcionamento e passa a copiar tudo o que é digitado pelo usuário, independentemente do site que estiver aberto.
Dessa forma, ele é capaz de ler qualquer login e senha antes que possam ser enviados via HTTPS, informações que então são enviadas para o criador do malware.
Como me proteger disso?
Para evitar a infecção pelo Rombertik ou outros programas similares, o Talos Group recomenda manter seu antivírus atualizado, não clicar em anexos enviados por desconhecidos e adotar políticas sérias de segurança para emails.
Então é isso…
Estejam avisados e muito cuidado com e-mails e até mesmo links estranhos, programas baixados, links recebidos em SMS, ou mensagens de estranhos recebidos via whatsapp, facebook, steam, bate papo, etc…
Eu pessoalmente prefiro deixar todos os meus dados pessoais em um segundo HD que espelha imediatamente um backup para um HD externo USB 3.0. Assim eu consigo ter a segurança de sempre ter meus arquivos pessoais a salvo e se caso eu venha a perder no computador, poderei restaurar mais a frente.
Mas protejam-se e estejam alertas.
Copie e cole o link no seu navegador para ver a notícia. http://bit.ly/1QoE1Mo
www.creondai.com.br via IFTTT
Nenhum comentário:
Postar um comentário