新しいタイプのマルウェアは、ウイルス対策スキャン中に検出されるとコンピューターを麻痺させ、被害者に壊滅的な打撃を与えます。
Cisco SystemsがRombertikと名付けたウイルスは、ブラウザウィンドウに入力されたテキスト(最も単純なものも含む)を傍受します。 さらに、 今週月曜日のシスコのTalos Groupブログの投稿によると、ウイルスはスパムおよびフィッシングメールを介して拡散します。
Rombertikは、Windowsを実行しているコンピューターでの起動後、いくつかの一連のチェックを簡単に実行し、ウイルス対策プログラムによって検出されたかどうかを判断して動作を続けます。
この動作は一部の種類のマルウェアでは珍しくありませんが、Rombertikは「マルウェアの分析の特定の痕跡を検出すると、コンピューター上のデータを積極的に破壊しようとするという点でユニークです」-これがBen BakerとAlexがウイルスを説明した方法ですTalos GroupのChiu。
同様のマルウェア(「ワイパー」)は、2013年に韓国にあるオブジェクトに対する攻撃、および昨年のSony Pictures Entertainmentに対する攻撃で使用されました。 両方の攻撃は、北朝鮮の米国政府によるものです。
最新のRombertikチェックは最も危険です。 メモリ内のリソースの32ビットハッシュを計算し、このリソースまたはコンパイル時間が変更された場合、Rombertikは自己破壊プロセスを開始します。プログラムの主な目標は、コンピューターが使用するPCのハードドライブの最初のセクターのマスターブートレコードマスターブートレコード(MBR)ですオペレーティングシステムの起動。 RombertikがMBRにアクセスできない場合、ユーザーのホームフォルダー内のすべてのファイルを破壊し、それぞれをランダムなRC4キーで暗号化します。
MBRまたはホームフォルダーが暗号化された後、コンピューターが再起動します。 MBRは、コンピューターの起動を妨げる無限ループに入ります。 「カーボンクラック試行が失敗しました」が画面に表示されます。
コンピュータにインストールした後、ウイルスは自身を解凍します。 解凍されたファイルの約97%は、実際のコードのように見えるように作成されます。 このウイルスは、75個の画像と8000個の誤った機能で構成されており、実際には使用されません。
「このウイルスは、ウイルス対策プログラムが各機能をスキャンできないようにしようとしています」とTalos氏は書いています。
また、彼はサンドボックスへの侵入を回避しようとするか、チェックが終了するまでしばらく隔離を実施します。 悪意のあるプログラムの中には、この期間待機しようとするものがあり、その後、起動してアクションを起こすことを期待しています。
Rombertikはアクティブなままで、1バイトのデータを9億6,000万回メモリに書き込みます。これにより、ウイルス対策プログラムによる分析が困難になります。
「そして、現時点でアンチウイルスプログラムが9億6,000万すべてのエントリを修正しようとしている場合、ログファイルのサイズは100ギガバイトに増加する可能性があります」とTalosは書きました。