Cisco исследовала новый коварный вирус

Разработчики систем защиты и злоумышленники постоянно стараются обхитрить друг друга. Современные инструменты анализа значительно усложнили жизнь атакующим, поскольку очень сложно проникнуть в систему, оставшись незамеченным. Хакеры тоже не сидят сложа руки, разрабатывая новые схемы вторжения, которые все сложнее обнаружить.

Одна из последних разработок злоумышленников – вредоносная утилита, которую специалисты Cisco отнесли к категории malware и дали название Rombertik. При помощи обратной инженерии специалисты выяснили, что в приложении используется несколько слоев маскировки, что препятствует полноценному анализу и распознаванию. Динамический и статический анализ было сложно выполнить – вредоносная программа при обнаружении повреждала MBR-запись.

Обратная инженерия кода вируса Rombertik помогла специалистам лучше изучить, какие методы злоумышленники используют для скрытия вредоносного кода и усложнения анализа. Представители Cisco уверены, что изучение Rombertik позволит в дальнейшем улучшить продукцию компании.

Новый вирус представляет собой сложное приложение, которое интегрируется в браузер и крадет персональные данные владельца устройства. В отличие от вируса Dyre, который собирает только банковскую информацию, Rombertik собирает любую информацию, не фильтруя ее. Для внедрения в ОС обычно используются методы социальной инженерии.

Вирус весьма коварен. Утилита отслеживает, не пытается ли другое ПО анализировать вредоносный код. Если таких фактов не зафиксировано, Rombertik начинает собирать информацию о пользователе. В противном случае утилита пытается повредить MBR-запись и инициировать перезагрузку системы. Если это не удается, вирус шифрует каталог с документами.

В распакованном виде Rombertik «весит» всего 28 килобайт. При этом архив занимает 1264 килобайт. Это еще один способ обмануть инструменты анализа – 97% программного кода похожи на полезный файл. В процессе анализа довольно сложно выявить вредоносную сигнатуру.