Rombertik – Virus der verbrannten Erde

Ein Horror-Virus?

Gefahr
Rombertik – Phishing und PC-Lahmlegung (Bild:fuzzbones/Fotolia)

Rombertik, der Virus der verbrannten Erde, wie er auch genannt wird, hat Anfang Mai für einige Schlagzeilen und übertriebene Angst in der Welt der PC-User gesorgt. Es war die Rede davon, dass die Schadsoftware, die per Mail-Anhang den PC befällt, den Computer dauerhaft und irreversibel schädigen kann.

Wahr ist nur, dass eine Analyse der Profis sich schwierig gestaltet hat, da dieser gefährliche Virus es erkennt, wenn man ihn analysieren will und er daraufhin versucht, den Bootsektor zu löschen. Der Master Boot Record des PCs wird im schlimmsten Fall überschrieben und es kommt zu ständigen Neustarts des Systems.

Sollte diese Methode scheitern, verfügt der Virus außerdem über die Möglichkeit, persönliche Daten mit einem Zufalls-RC4-Schlüssel zu verschlüsseln und damit praktisch unbrauchbar zu machen.

Vorgehensweise des Virus

Der normale User kann Opfer von Rombertik werden, wenn er Mail-Anhänge öffnet, die meist in PDF-Form vorliegen und angeblich von Microsoft stammen. Mit einem Klick ist die Schadsoftware somit auf der Festplatte und beginnt selbstständig, Informationen zu sammeln und den Nutzer auszuspähen.

Die gestohlenen Nutzerdaten werden an verschiedene Adressen weitergeleitet, unter anderem gilt dabei die Adresse www.centozos.org.in als Ziel. Um sich zu schützen, versteckt sich der eigentlich nur 28 KByte große Virus in 97% unnützen Dateien, die aus Bildern und ca. 8.000 belanglosen Programmfunktionen bestehen.

Moderne Sandbox-Systeme können solche Viren in der Regel erkennen und bemerken oft eine gewisse Inaktivität solcher Schadsoftware. Rombertik ist klüger und „arbeitet“ fleißig innerhalb des Programms, um beispielsweise ein einziges Byte Hunderte Millionen Mal aufzurufen, ehe versucht wird, aus der Sandbox auszubrechen.

Schutzmaßnahmen

Der beste Schutz besteht schon darin, ominöse Mailanhänge und Dateien nicht zu öffnen. Da der irreführende Faktor in diesem Fall besonders groß ist, da es sich angeblich nur um eine harmlose PDF-Datei handelt, sollte man auf .SCR-Dateien achten, die bei Aktivierung den Virus sofort auf die Festplatte bringen.

Ein einfaches Virenprogramm kann bereits helfen, um sich des Störenfrieds zu entledigen. Sollte der Befall bereits den Master Boot Record (MBR) lahmgelegt bzw. gelöscht haben, wird ein Rückgewinn bestimmter Daten schwer. Sie sind mit Nullen überschrieben worden und eine Wiederherstellung erfordert einiges an Sachverstand.

Ein Gedanke zu „Rombertik – Virus der verbrannten Erde

  • 20. Mai 2015 um 12:41
    Permalink

    Ist es möglich, in einem infizierten Fall, ein sauberes Backup zurückzuspielen?
    Wenn die Backups auf einer anderen Partition der Festplatte liegen – werden diese auch angegriffen und verschlüsselt oder sind die brauchbar? Was ist mit externen Festplatten, die angeschlossen sind oder werden?

    Normalerweise beschränkt sich ein Virus doch auf die Partition C, wo das Betriebssystem liegt.

    LG

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.