Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Rombertik

Geschrieben von: flexibel44 05.05.2015, 14:05

Hochaggressiv und neu: http://www.pc-magazin.de/news/rombertik-yfoye-exe-malware-sicherheit-cisco-talos-3048716.html
http://www.spiegel.de/netzwelt/web/rombertik-neue-malware-loescht-sich-bei-entdeckung-selbst-a-1032095.html

Geschrieben von: simracer 05.05.2015, 15:58

Dazu mal eine ernst gemeinte Frage an die wissenden User hier: angenommen dieser Rombertik befällt einen Windows PC, hilft es dann den loszuwerden wenn man ein Systembackup von C bzw ein Kompletbackup der Festplatte einspielt bei dem jeweils der MBR mitgesichert wurde?

Geschrieben von: scu 05.05.2015, 16:46

ZITAT(flexibel44 @ 05.05.2015, 15:05) *
Hochaggressiv und neu:
https://www.virustotal.com/de/file/0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf/analysis/
First submission 2015-01-12 00:46:48 UTC ( vor 3 Monate, 3 Wochen )
Last submission 2015-05-05 12:33:55 UTC ( vor 3 Stunden, 1 Minute )

Neu ist in diesem Fall wohl relativ zu sehen wink.gif

ZITAT(simracer @ 05.05.2015, 16:58) *
Dazu mal eine ernst gemeinte Frage an die wissenden User hier: angenommen dieser Rombertik befällt einen Windows PC, hilft es dann den loszuwerden wenn man ein Systembackup von C bzw ein Kompletbackup der Festplatte einspielt bei dem jeweils der MBR mitgesichert wurde?
Siehe dazu folgenden Abschnitt des Cisco Artikels:
ZITAT
The Master Boot Record starts with code that is executed before the Operating System. The overwritten MBR contains code to print out “Carbon crack attempt, failed”, then enters an infinite loop preventing the system from continuing to boot.

The MBR also contains information about the disk partitions. The altered MBR overwrites the bytes for these partitions with Null bytes, making it even more difficult to recover data from the sabotaged hard drive.
Wenn der MBR durch das Backup wieder hergestellt wird, sollte das (sofern der Artikel das nichts verschweigt) kein Problem sein.

Um den MBR zu überschreiben braucht das Programm allerdings meines Wissens nach Admin-Rechte. Zudem sollte der Zugriff auf den MBR von einem Behaviour Blocker erkannt werden.
Der BB von G Data beschwert sich z.B. regelmäßig bei mir wenn der MBR von einem USB Stick bei der Erstellung von einem Linux USB Boot Stick geändert wird.

Geschrieben von: Nightwatch 08.05.2015, 17:35

Hier ein weiterer, aktueller Artikel zum Thema:

Fieser Trojaner entdeckt: "Rombertik" spioniert und legt PCs lahm
http://www.n-tv.de/technik/Rombertik-spioniert-und-legt-PCs-lahm-article15057071.html

Geschrieben von: Der Moloch 08.05.2015, 18:00

Einfach nur lächerlich, was hier wieder für eine Sau durchs Dorf getrieben wird.

ZITAT
Unsure if guys behind Rombertik "analysis" are dumb by design or just stupid kids from hackforums. This malware is pure comedy section.

https://twitter.com/hFireF0X/status/596589510059765760


ZITAT
So basically all these mass media monkeys are lying you. Well, just like they should by design and purpose.

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3838

Geschrieben von: simracer 08.05.2015, 18:28

ZITAT
Einfach nur lächerlich, was hier wieder für eine Sau durchs Dorf getrieben wird.

Willst du damit sagen Rombertik wird schlimmer dargestellt als er in Wirklichkeit ist?

Geschrieben von: Nightwatch 08.05.2015, 19:30

ZITAT(simracer @ 08.05.2015, 19:28) *
Willst du damit sagen Rombertik wird schlimmer dargestellt als er in Wirklichkeit ist?

Auch wenn die Frage nicht an mich adressiert ist: Der Trojaner enthält gängige und übliche Funktionen von bereits bekannten Schadprogrammen und ist in meinen Augen nichts "Besonderes". Das gilt auch für die genutzten Tarnungsmechanismen.

Geschrieben von: simracer 08.05.2015, 19:39

Danke für die Erklärung Nightwatch thumbup.gif

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)