LINUX.ORG.RU
ФорумTalks

в ряду параноиков прибыло. встречайте, Rombertik

 ,


1

1

малварь с параноидальными замашками. вот отчёт
http://blogs.cisco.com/security/talos/rombertik

пожалуй скопипащу один из переводов.

Вредоносная программа под названием Rombertik распространяется вместе со спамом и фишинговыми электронными письмами. Программа записывает любой текст, вводимый в браузере, с целью кражи конфиденциальных данных и паролей.
«В то время как обычные вредоносные программы стараются обойти средства защиты компьютера, Rombertik ведет себя совершенно иначе, и пытается вывести систему из строя, если считает, что будет обнаружена», заявил представитель Cisco.
Аналогичная техника применялась при развертывании атак на цели в Южной Корее в 2013 году и против компании Sony Pictures в 2014 году.
После установки Rombertik распаковывает различные части своего кода, 97 процентов из которого разработано для сокрытия реальной работы программы. В код входит 75 изображений и 8 тысяч ложных функций, которые в действительности никогда не используются.
«Это приводит к тому, что антивирусные средства не успевают проверить каждую функцию. Более того, чтобы избежать детектирования «песочницами», программа записывает один байт данных в память 960 миллионов раз, чтобы скрыть реальные цели своей деятельности. При этом лог файл может вырасти до 100 гигабайт», отметили эксперты Cisco.
Rombertik вычисляет 32-битный хэш ресурса в памяти, и если этот ресурс или время компиляции изменились, вредоносная программа начинает процесс самоуничтожения.
Сначала программа пытается перезаписать главную загрузочную запись Master Boot Record (MBR), или, в случае недостаточных полномочий, уничтожает все файлы в домашней папке пользователя, шифруя каждый посредством случайно сгенерированного ключа.
Если попытка перезаписи MBR удалась, внедренный код активируется после перезагрузки системы. При этом на экране появляется надпись «Carbon crack attempt, failed» (Попытка взлома провалилась) и компьютер уходит в циклическую перезагрузку. Для восстановления работы компьютера требуется переустановка операционной системы.
Кроме того, изменение MBR также сопровождается перезаписью дисковых разделов нулевыми байтами, что затрудняет в дальнейшем восстановление информации, записанной на жесткий диск.
Эксперты компании Cisco полагают, что такая техника станет превалирующей в дальнейшем. Поэтому пользователям нужно не забывать устанавливать и регулярно обновлять антивирусные и другие программные средства защиты для борьбы с вредоносным ПО.

★★★

Ничего интересного или нового.

Sadler ★★★
()

Касперыч уже высказывался?

Reset ★★★★★
()

пользователям нужно не забывать устанавливать и регулярно обновлять антивирусные и другие программные средства защиты для борьбы с вредоносным ПО.

Вот это и есть целью написания подобных вирусов.

iron ★★★★★
()

Поэтому пользователям нужно не забывать устанавливать и регулярно обновлять антивирусные и другие программные средства защиты для борьбы с вредоносным ПО.

Бэкапиться надо, вот что.

CYB3R ★★★★★
()
Ответ на: комментарий от h578b1bde

от ЗППП презерватив, конечно, спасает, но ради пущей безопасности лучше одеться в драную засаленную одежду, отрастить чмошные усики и усыпаться прыщами

т.е. вместо антивирусов лучше поставить Линукс

Alyssa
()
Ответ на: комментарий от Xellos

На возможных юзеров в целях предотвращения имбридинга.

dogbert ★★★★★
()
Ответ на: комментарий от Xellos

сейчас можно просто перейти с поисковика на зараженный бложик

Lordwind ★★★★★
()
Ответ на: комментарий от onon

а не слишком ли дорого городить подобный вирус ради того чтоб кого-то напугать?

По сравнению с прибылью которую получают компании производящие средства защиты, это совсем не дорого. К тому же, тем кто исследует вирусы, проще простого написать новый вирус который не будет определятся всеми существующими сканерами.

iron ★★★★★
()

уничтожает все файлы в домашней папке

Ну если сугубо в папке, то пусть вантузятники и мучаются.

trueshell ★★★★★
()

«Это приводит к тому, что антивирусные средства не успевают проверить каждую функцию.

Что значит не успевают? Если они это не успевают, значит неуспетым функциям не будет передано управление.

шифруя каждый посредством случайно сгенерированного ключа.

В оригинале этот пункт был смешнее.

andreyu ★★★★★
()

Эксперты компании Cisco полагают, что такая техника станет превалирующей в дальнейшем.

Почему? Исследованием вирусов занимаются специально обученные люди в виртуальных машинах. И если вирус самоуничтожится они просто откатят её в исходное состояние и продолжат эксперименты. Антивирус же, у которого уже есть в базах метод лечения этого зловреда, тут же прибьёт процесс (таким образом, чтобы вновь он уже не запустился) и он не успеет ничего испортить.

KivApple ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks