• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Malware Rombertik destruye ordenadores si es detectado.

    Malware Rombertik destruye ordenadores si es detectado. Rombertik está diseñado para robar cualquier texto plano que ingrese en una ventana del navegador. Un nuevo tipo de malware bloquea el ordenador si detecta que está siendo ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Malware Rombertik destruye ordenadores si es detectado.

      Malware Rombertik destruye ordenadores si es detectado.


      Rombertik está diseñado para robar cualquier texto plano que ingrese en una ventana del navegador.



      Un nuevo tipo de malware bloquea el ordenador si detecta que está siendo detectado mediante las comprobaciones de seguridad, un golpe especialmente catastrófico para sus víctimas.

      El malware, apodado Rombertik por Cisco Systems, está diseñado para interceptar cualquier texto que ingrese en una ventana del navegador. Se extiende a través de mensajes de spam y phishing, según Cisco informó en Talos Grup blog el día lunes.

      Rombertik realiza diversos controles una vez que se está ejecutando en un equipo Windows para ver si ha sido detectado.

      El comportamiento no es algo inusual en algunos tipos de malware, pero Rombertik "es el único que activamente intenta colapsar el ordenador si detecta que se están realizando ciertos atributos asociados con el análisis de malware," escribieron Ben Baker y Alex Chiu del grupo Talos.

      El malware de tipo"Wiper" se ha utilizado en el pasado, en particular contra objetivos de Corea del sur en el 2013 y Sony Pictures Entertainment el año pasado, un ataque atribuido a Corea del norte por el gobierno de los Estados Unidos.

      La última versión de Rombertik es el más peligroso. Computa un hash de 32 bits como recurso de memoria, y si ese recurso o el tiempo de compilación han sido modificados, Rombertik provoca la «autodestrucción».

      En primer lugar, apunta a la Master Boot Record (MBR), el primer sector del disco duro de una PC que el equipo busca antes de cargar el sistema operativo. Si Rombertik no tiene acceso al MBR, destruye con eficacia todos los archivos de la carpeta de inicio del usuario mediante la encriptación de cada uno con una clave RC4 al azar.

      Una vez que el MBR o la carpeta de inicio han sido codificadas, se reinicia el ordenador. El MBR entra en un bucle infinito que impide a la computadora reiniciar. En la pantalla se lee "Carbon crack attempt, failed".


      Al instalarse por primera vez en un equipo, se desempaqueta a sí mismo. Alrededor del 97 por ciento del contenido del archivo descomprimido está diseñado para que parezca legítimo , estando compuesto por 75 imágenes y 8.000 funciones señuelos que en realidad nunca se utilizan.

      "Este tipo de compresión abruma a los analistas haciéndoles imposible mirar en cada función", escribió Talos.


      También trata de evitar el sandboxing, o la práctica de aislar el código por un tiempo hasta que haya sido extraído. Algunos malware esperan a que pase el tiempo en que se hallan en el sandboxing, para después activarse.

      Rombertik se queda activo, sin embargo y escribe un byte de datos en memoria 960 millones de veces, complicando el análisis de las herramientas de rastreo.

      "Si una herramienta de análisis intenta registrar todas las 960 millones de instrucciones escritas, el registro crecería a más de 100 gigabytes," escribió Talos.


      Fuente: Infoworld
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de @Fabian_Dres
      Registrado
      ago 2008
      Ubicación
      Chile
      Mensajes
      15.103

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Esta noticia es muy preocupante ya que tiempo atrás estuvimos luchando con un malware que infectaba el Master Boot Record (MBR) y costaba mucho trabajo detectarlo y luego eliminarlo, ahora esta nueva amenaza si es capas de hacer lo que comenta la noticia ya veo que traerá muchos dolores de cabeza y muchos formateos. A tener cuidado amigos.
      Anoika


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Animewall
      Registrado
      may 2013
      Ubicación
      Oaxaca de Juár
      Mensajes
      59

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Que se puede hacer para Evitar ser infectado por este Virus?

    4. #4
      Usuario Avatar de magnums
      Registrado
      may 2010
      Ubicación
      Buenos Aires
      Mensajes
      49

      Re: Malware Rombertik destruye ordenadores si es detectado.

      El Malwarebytes PRO y el Panda Clud son capaces de detectarlo a tiempo y neutralizarlo?

    5. #5
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Supongo que si son capaces después del tiempo que ha transcurrido.

      Carga destructiva del Malware Rombertik es una función Anti pirateria, según Symantec.

      Cisco informó a principios de este mes que el malware Rombertik intenta destruir el registro de arranque maestro (MBR) en los dispositivos infectados para evitar que los investigadores analicen la amenaza. Sin embargo, Symantec dice que la función está realmente diseñada para prevenir el uso no autorizado del troyano.

      Según Symantec, Rombertik es una nueva versión del troyano conocido como Carbono Grabber (Infostealer.Retgate). El malware permite a los ciber-delincuentes robar información y les da acceso de puerta trasera a los dispositivos infectados.

      El malware tiene varios mecanismos de anti-análisis diseñados para impedir que los investigadores lo ejecuten en una caja de arena (Sandbox). Si alguien intenta manipularlo, el malware intentará sobrescribir el MBR del dispositivo y cifrará los archivos. Sin embargo, se cree que esta carga destructiva en realidad no está dirigida a los investigadores de seguridad según Symantec.

      Los investigadores creen que la función es en realidad una trampa para aquellos que podrían intentar utilizar y modificar el malware sin autorización. Cuando los ciberdelincuentes compran Rombertik de su creador, obtienen una copia que se comunica sólo con su servidor de comando y control (C & C). La dirección C & C está incrustada en el código binario.

      Algunos ciberdelincuentes podrían intentar hackear el binario y cambiar la dirección del servidor C & C para así poder usar el malware sin tener que pagar por ello. Para evitar el uso no autorizado, los desarrolladores previeron un mecanismo de protección destructiva cuando se descubren esos intentos.

      Después se sobreescribe el MBR se cifran los archivos en el dispositivo infectado, apareciendo el siguiente mensaje:

      " Intento de craquear Carbono, fallido".

      Este mensaje tiene sentido si la carga destructiva está pensada como castigo para los individuos que intenten piratear el troyano.

      Sin embargo, Symantec ha observado que este mecanismo de protección puede evitarse. El recurso que contiene la dirección URL del servidor de C & C es encriptada usando una clave RSA. Un hash de esta llave RSA se almacena en el campo del encabezado PE "Tiempo compilado". Este hash se compara con el valor hash de la clave que se utiliza, y el malware funciona normalmente si coinciden los hashes. Si se realizan modificaciones en el malware y se sustituye la llave RSA, no coincidirá con los algoritmos hash desencadenando el malware la carga destructiva.

      Mientras que esto es una buena manera de comprobar si el malware ha sido alterado, los desarrolladores parecen haber cometido un error. Los expertos de Symantec determinaron que las claves de cifrado están incluidas en el binario del malware.

      "Fuimos capaces de cifrar una diferente URL del C & C utilizando la clave pública y utilizando la clave privada descifrada incluida. "Esto significa que si alguien quisiera reutilizar una copia del troyano sin pagar por uno nuevo, podrían hacerlo utilizando este método sin accionar la carga destructiva, Symantec escribió en un post de su blog.

      "Según nuestro análisis, no creemos que esta funcionalidad esté diseñada como una función de anti-análisis para frustrar los esfuerzos de los investigadores de seguridad. En cambio, parece que es la manera en que los desarrolladores del malware castigan a los tacaños ingenuo que quieran utilizar este software de forma gratuita", señalaron los investigadores.

      "No se puede negar el daño que puede causar esta amenaza, que es muy destructiva, pero esta no es una función indiscriminada del troyano."

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de Vocaloid
      Registrado
      mar 2013
      Ubicación
      .
      Mensajes
      773

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Que horror !!! ,pobre de aquel que se infecte

      salu2

    7. #7
      Usuario Avatar de Animewall
      Registrado
      may 2013
      Ubicación
      Oaxaca de Juár
      Mensajes
      59

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Alguna manera de prevenir la infección de este virus?

    8. #8
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: Malware Rombertik destruye ordenadores si es detectado.

      Las mismas recomendaciones de siempre: No abrir correos con archivos adjuntos de desconocidos, no desactivar el antivirus para instalar algún programa craqueado, etc.
      Según por lo que he leído en los dos artículos el malware no te va corromper el mbr a menos que intentes "destriparlo" , es decir abrirlo (No ejecutarlo) para hacerle cambios en su programación y creo que el usuario común no es capaz de hacer eso.

      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.