Ο Rombertik εκτελεί πολλούς ελέγχους στο σύστημα καθώς τρέχει για να διαπιστώσει αν έχει ανιχνευθεί. Αυτή η συμπεριφορά δεν είναι κάτι καινούργιο για κάποιους τύπους ιών αλλά αυτή του Rombertik "είναι μοναδική στο ότι προσπαθεί να καταστρέψει τον υπολογιστή αν ανακαλύψει ορισμένες κινήσεις συσχετισμένες με προσπάθειες ανίχνευσής του", έγραψαν σε μία ανάρτησή τους ο Ben Baker και ο Alex Chiu του Talos Group.
Τέτοιο κακόβουλο λογισμικό τύπου "Wiper" έχει χρησιμοποιηθεί και στο παρελθόν όπως εναντίων στόχων στη Νότια Κορέα το 2013 και της Sony Pictures Entertainment τον περασμένο χρόνο, μία επίθεση που σύμφωνα με την κυβέρνηση των ΗΠΑ προήρθε από την Βόρεια Κορέα.
Ο τελευταίο έλεγχος που κάνει ο Rombertik είναι και ο πιο επικίνδυνος. Υπολογίζει ένα 32άμπιτο hash από έναν πόρο στη μνήμη και αν τυχόν αυτός ο πόρος ή η ώρα που υπολογίστηκε έχει αλλάξει, τότε ενεργοποιείται η αυτοκαταστροφή.
Ο πρώτος στόχος είναι το Master Boot Record (MBR), το πρώτο τμήμα του σκληρού δίσκου που διαβάζει ο υπολογιστής πριν φορτώσει το λειτουργικό σύστημα. Αν ο Rombertik δεν έχει πρόσβαση στο MBR τότε καταστρέφει όλα τα αρχεία του χρήστη κωδικοποιώντας τα με ένα τυχαίο RC4 κλειδί.
Αφού κωδικοποιηθεί το MBR ή τα αρχεία του χρήστη, ο υπολογιστής κάνει επανεκκίνηση και συνεχίζει να κάνει επανεκκινήσεις χωρίς να μπορεί να φορτώσει το λειτουργικό σύστημα ενώ στην οθόνη εμφανίζεται το μήνυμα “Carbon crack attempt, failed.”
Όταν εγκατασταθεί για πρώτη φορά σε έναν υπολογιστή, αποσυμπιέζονται τα αρχεία που τον αποτελούν. Το 97 τοις εκατό αυτών των αρχείων είναι σχεδιασμένα έτσι ώστε να φαίνονται φυσιολογικά και αποτελούνται από 75 εικόνες και 8.000 λειτουργίες που στην πραγματικότητα δεν χρησιμοποιούνται ποτέ.
"Ο ιός αυτός προσπαθεί να αποθαρρύνει τους αναλυτές κάνοντάς αδύνατο να ελέγξουν όλες αυτές τις λειτουργίες", σημειώνει το Talos Group
Επίσης προσπαθεί να αποφύγει την απομόνωση (sandboxing) ή την καραντίνα που διαθέτουν τα antivirus, τα οποία κρατούν εκεί τους ιούς μέχρι να ελεγχθούν. Μερικοί ιοί προσπαθούν να μείνουν αδρανείς αυτήν την περίοδο της απομόνωσης και "ξυπνούν" μόλις αυτή τελειώσει.
Ο Rombertik μένει όμως ενεργός και γράφει στη μνήμη ένα byte δεδομένων 960 εκατομμύρια φορές, κάτι που δυσκολεύει την ανάλυση και την ανίχνευση. Αν ένα εργαλείο ανάλυσης προσπαθήσει να καταγράψει όλα αυτά τα δεδομένα τότε το αρχείο καταγραφής θα έφτανε σε μέγεθος τα 100 gigabytes, σύμφωνα με το Talos Group.
Το μεγάλο ερώτημα όμως παραμένει : Ποιος δημιούργησε αυτόν τον ιό ;
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now