Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Rombertik
flexibel44
Beitrag 05.05.2015, 14:05
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.739
Mitglied seit: 25.01.2004
Wohnort: Hamburg
Mitglieds-Nr.: 364

Betriebssystem:
Win 10 Home
Virenscanner:
Kaspersky Anti-Virus 2016
Firewall:
Router



Hochaggressiv und neu: http://www.pc-magazin.de/news/rombertik-yf...os-3048716.html
http://www.spiegel.de/netzwelt/web/rombert...-a-1032095.html

Der Beitrag wurde von flexibel44 bearbeitet: 05.05.2015, 14:06
Go to the top of the page
 
+Quote Post
simracer
Beitrag 05.05.2015, 15:58
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.036
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Dazu mal eine ernst gemeinte Frage an die wissenden User hier: angenommen dieser Rombertik befällt einen Windows PC, hilft es dann den loszuwerden wenn man ein Systembackup von C bzw ein Kompletbackup der Festplatte einspielt bei dem jeweils der MBR mitgesichert wurde?


--------------------
Go to the top of the page
 
+Quote Post
scu
Beitrag 05.05.2015, 16:46
Beitrag #3



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.187
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G Data



ZITAT(flexibel44 @ 05.05.2015, 15:05) *
Hochaggressiv und neu:
https://www.virustotal.com/de/file/0d11a13f...5bccf/analysis/
First submission 2015-01-12 00:46:48 UTC ( vor 3 Monate, 3 Wochen )
Last submission 2015-05-05 12:33:55 UTC ( vor 3 Stunden, 1 Minute )

Neu ist in diesem Fall wohl relativ zu sehen wink.gif

ZITAT(simracer @ 05.05.2015, 16:58) *
Dazu mal eine ernst gemeinte Frage an die wissenden User hier: angenommen dieser Rombertik befällt einen Windows PC, hilft es dann den loszuwerden wenn man ein Systembackup von C bzw ein Kompletbackup der Festplatte einspielt bei dem jeweils der MBR mitgesichert wurde?
Siehe dazu folgenden Abschnitt des Cisco Artikels:
ZITAT
The Master Boot Record starts with code that is executed before the Operating System. The overwritten MBR contains code to print out “Carbon crack attempt, failed”, then enters an infinite loop preventing the system from continuing to boot.

The MBR also contains information about the disk partitions. The altered MBR overwrites the bytes for these partitions with Null bytes, making it even more difficult to recover data from the sabotaged hard drive.
Wenn der MBR durch das Backup wieder hergestellt wird, sollte das (sofern der Artikel das nichts verschweigt) kein Problem sein.

Um den MBR zu überschreiben braucht das Programm allerdings meines Wissens nach Admin-Rechte. Zudem sollte der Zugriff auf den MBR von einem Behaviour Blocker erkannt werden.
Der BB von G Data beschwert sich z.B. regelmäßig bei mir wenn der MBR von einem USB Stick bei der Erstellung von einem Linux USB Boot Stick geändert wird.
Go to the top of the page
 
+Quote Post
Nightwatch
Beitrag 08.05.2015, 17:35
Beitrag #4



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 12
Mitglied seit: 07.05.2015
Mitglieds-Nr.: 10.084

Betriebssystem:
Windows 7
Virenscanner:
eScan ISS v14 / EAM 10
Firewall:
eScan ISS v14



Hier ein weiterer, aktueller Artikel zum Thema:

Fieser Trojaner entdeckt: "Rombertik" spioniert und legt PCs lahm
http://www.n-tv.de/technik/Rombertik-spion...le15057071.html
Go to the top of the page
 
+Quote Post
Der Moloch
Beitrag 08.05.2015, 18:00
Beitrag #5



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 462
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



Einfach nur lächerlich, was hier wieder für eine Sau durchs Dorf getrieben wird.

ZITAT
Unsure if guys behind Rombertik "analysis" are dumb by design or just stupid kids from hackforums. This malware is pure comedy section.

https://twitter.com/hFireF0X/status/596589510059765760


ZITAT
So basically all these mass media monkeys are lying you. Well, just like they should by design and purpose.

http://www.kernelmode.info/forum/viewtopic...f=16&t=3838


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
simracer
Beitrag 08.05.2015, 18:28
Beitrag #6



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.036
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
Einfach nur lächerlich, was hier wieder für eine Sau durchs Dorf getrieben wird.

Willst du damit sagen Rombertik wird schlimmer dargestellt als er in Wirklichkeit ist?


--------------------
Go to the top of the page
 
+Quote Post
Nightwatch
Beitrag 08.05.2015, 19:30
Beitrag #7



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 12
Mitglied seit: 07.05.2015
Mitglieds-Nr.: 10.084

Betriebssystem:
Windows 7
Virenscanner:
eScan ISS v14 / EAM 10
Firewall:
eScan ISS v14



ZITAT(simracer @ 08.05.2015, 19:28) *
Willst du damit sagen Rombertik wird schlimmer dargestellt als er in Wirklichkeit ist?

Auch wenn die Frage nicht an mich adressiert ist: Der Trojaner enthält gängige und übliche Funktionen von bereits bekannten Schadprogrammen und ist in meinen Augen nichts "Besonderes". Das gilt auch für die genutzten Tarnungsmechanismen.
Go to the top of the page
 
+Quote Post
simracer
Beitrag 08.05.2015, 19:39
Beitrag #8



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.036
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Danke für die Erklärung Nightwatch thumbup.gif


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 15.07.2018, 23:57
Impressum