Tin liên quan

Các nhà nghiên cứu bảo mật vừa phát hiện một chủng phần mềm độc hại mới có tên là Rombertik, có khả năng tránh các phần mềm chống virus phát hiện, phân tích và khiến máy tính bị nhiễm không thể sử dụng được.

Siêu mã độc Rombertik có thể nổi giận và phá hủy toàn bộ ổ cứng

Phần mềm độc hại này là mẫu mã độc duy nhất có khả năng tự hủy với các kỹ thuật độc đáo của nó. Ngay khi phát hiện công cụ phân tích bất kỳ, Rombertik sẽ cố gắng xóa Master Boot Record (MBR) của thiết bị và các thư mục bên trong, khiến máy tính ngay lập tức phải khởi động lại. Nói cách khác, Rombertik chính là một phần phức tạp trong các phần mềm gián điệp, được thiết kế để thu thập mọi thông tin, dữ liệu từ người dùng trực tuyến. Từ đó, thu thập thông tin đăng nhập và các thông tin bí mật khác của nạn nhân.

Theo phân tích của hãng bảo mật Kaspersky, Rombertik không chỉ xáo trộn hoạt động của chính bản thân khi nó quét thấy có những dấu hiệu đang bị theo dõi. Nguy hiểm hơn, nếu Rombertik nhận thấy mình đang có nguy cơ bị "dòm ngó" thì nó sẽ "nổi giận" và hủy hoại cả ổ cứng bằng cách ghi đè lên MBR (Master Boot Record) của ổ cứng khiến cơ hội phục hồi dữ liệu gần như vô vọng.

Rombertik thường được cài đặt trên các máy chứa lỗ hổng, sau khi người dùng nhấp chuột vào các file đính kèm chứa trong email lừa đảo. Sau khi xâm nhập hệ thống máy tính, Rombertik sẽ chạy một loạt các kiểm tra chống phân tích để xác định nếu nó đang khởi chạy trong một sandbox. Trong trường hợp không chạy trong sandbox, Rombertik sẽ giải mã và tự cài đặt trên máy tính nạn nhân, sau đó cho phép phần mềm độc hại khởi tạo một bản sao thứ hai của chính nó và ghi đè lên nhằm thực hiện chức năng gián điệp.

Biểu đồ hoạt động và hành vi của Romertik

Sau khi hoàn thành quá trình này và trước khi bắt đầu thực hiện gián điệp trên người dùng, Rombertik sẽ chạy một lượt kiểm tra cuối cùng để đảm bảo nó không bị phân tích trong bộ nhớ. Trong trường hợp tìm thấy bất kỳ dấu hiệu nào đang bị phân tích, phần mềm này sẽ cố gắng tiêu diệt MBR của máy tính, nhằm xóa dấu vết. Khi đó, MBR đã bị xóa mất khỏi ổ cứng và máy tính của nạn nhân sẽ khởi động lại liên tục và không thể dừng quá trình này lại được.

Sau khi đối chiếu thiết kế của các phần mềm độc hại, các nhà nghiên cứu nhận ra rằng Rombertik chứa khối lượng lớn các mã rác cần được phân tích. Các mẫu Rombertik giải nén 28KB lưu lượng trong khi phiên bản đóng gói là 1264KB, bao gồm 75 file hình ảnh và 8 nghìn file chức năng không bao giờ sử dụng tới. Hơn nữa, Romnertik lưu giữ bản thân trong sandbox bằng cách việt một byte dữ liệu ngẫu nhiên vào trong bộ nhớ 960 triệu lần nhằm tránh bị phát hiện.

PV