Trojaner Rombertik arbeitet wirkungsvoll gegen seine Enttarnung

Die Sicherheitsexperten der „Talos Group“ von Cisco Systems warnen vor einem neuen sehr bösartigen Schädling, dem sie den Namen “Rombertik” gegeben haben. Dieser Trojaner hat es augenscheinlich auf alle persönlichen Informationen und Zugangsdaten des Anwenders abgesehen. Dabei klinkt sich das Schadprogramm über eine Schnittstelle in den Browser ein und greift dabei alle Eingaben des Anwenders ab.

Üblicherweise wird das Schadprogramm in infizierten Anhängen über Spam-Kampagnen verbreitet, dabei handelt es sich diesmal um gefälschte E-Mails von Microsoft mit dem Betreff  “Windows Inquiries”.

Bildschirmfoto 2015-05-07 um 10.40.36

Bild: http://blogs.cisco.com/

Im Anhang der E-Mail befindet sich eine gepackte Datei, welche eine Größe von 1264KB aufweist, wobei das eigentliche Schadprogramm nur 28KB groß ist. Laut den Experten handelt es sich um Füll- bzw. Tarnmaterial in Form von Bildern und Quellcode, welche Analyse-Programme bei Überprüfungen verwirren und überfordern sollen. Öffnet der Anwender den infizierten Anhang, werden ungepatchte Sicherheitslücken auf dem Rechner genutzt um das Schadprogramm in diverse Bereiche des Systems zu installieren, wo es auf weitere Aktivitäten des Anwenders lauert.

Was macht den Trojaner “Rombertik” so gefährlich?

Das besondere bzw. heimtückische des Rombertik-Trojaner ist aber, dass dieser bei der Installation überprüft, ob er von Sicherheitssystemen gesucht bzw. entdeckt wurde. Stellt der Trojaner fest, dass er endeckt oder analysiert wird, fährt dieser agressive Gegenmaßnahmen auf, in dem er damit beginnt den Master Boot Record (MBR) zu löschen bzw. die Partitionstabelle der Festplatte zu überschreiben. Hat der Trojaner dabei keinen Erfolg, weil evtl. die Berechtigungen fehlen, beginnt Rombertik mit der Verschlüsselung aller Daten des Benutzers auf der Festplatte, startet den Rechner neu und überrascht den Anwender durch Sperren des Desktops, mit der Meldung auf schwarzen Hintergrund: “Carbon crack attempt, failed“. Hiermit ist in der Regel eine Neuinstallation des Computers fällig.

Bildschirmfoto 2015-05-07 um 11.30.47

Bild: http://blogs.cisco.com/

Da “Rombertik” vor dem Ausführen von gängigen Antiviren-Programmen erkannt werden kann, empfehlen Experten das System immer “up-to-date” zu halten. Anti-Viren- und Sicherheits-Patches sollten zeitnah auf das System eingespielt werden.

Threat Spotlight: Rombertik – Gazing Past the Smoke, Mirrors, and Trapdoors

Wie kann ich mein System schützen:

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn sie Opfer von Rombertik geworden sind, muss ein gelöschter MBR nicht das Ende bedeuten. Melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.