Xuất hiện malware Rombertik mới tấn công ổ cứng và xóa MBR

QuanNDD
7/5/2015 2:57Phản hồi: 46
Xuất hiện malware Rombertik mới tấn công ổ cứng và xóa MBR
malware Rombertik_hinh 1.1.jpg

Cuộc chiến giữa tội phạm mạng và giới bảo mật đã bước sang một giai đoạn mới với sự xuất hiện của Rombertik, một malware (mã độc) mới có khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web đồng thời sẽ tấn công và ghi đè lên MBR (master boot record) ổ cứng máy tính để xóa dấu vết nếu bị phần mềm bảo mật phân tích.

Vấn đề đáng nói của malware mới nằm ở phương thức chống sự phát hiện của phần mềm bảo mật. Đội phản ứng với nguy cơ bảo mật của Cisco cho biết sau khi lây nhiễm vào máy tính người dùng, Rombertik sẽ chạy một loạt bước kiểm tra chống phân tích xem có đang chạy trong sandbox (tạm dịch hộp cát) của môi trường ảo hay không trước khi giải mã và có những hành động kế tiếp.

Infographic bên dưới cho thấy cách thức hoạt động của Rombertik. Theo phân tích của Cisco, 97% dữ liệu đóng gói trong tập tin là thông tin về hình ảnh và tính năng không được sử dụng mà chỉ để mã độc này có dung lượng trông giống thực tế hơn.

malware Rombertik_hinh 2.1.jpg


Rombertik bắt đầu bằng việc ghi đến 960 triệu byte ngẫu nhiên vào bộ nhớ để để “làm ngập” tập tin log hệ thống với 100GB dữ liệu rác. Kế tiếp, malware này sẽ kiểm tra chống phân tích xem có đang chạy trong trong môi trường ảo hay không.

Nếu không nằm trong môi trường hạn chế (virtual machine), Rombertik sẽ giải mã, tạo bản sao và khởi chạy các lệnh cần thực thi. Các lệnh thực thi này không cố định và được làm rắc rối với một số lệnh không cần thiết nhằm đánh lạc hướng chuyên gia bảo mật phân tích, dò tìm lại các bước phá hoại của Rombertik.

Nếu phát hiện đang chạy trong môi trường ảo sandbox, Rombertik sẽ tìm cách truy cập và ghi đè lên MBR ổ cứng bằng byte rỗng (null byte) hoặc mã hóa toàn bộ dữ liệu trong thư mục C:\Documents and Settings\Administrator với thuật toán RC4 trong trường hợp không có quyền ghi lên MBR.

Việc ghi đè lên master boot record với các byte không có giá trị khiến việc khôi phục phân vùng hệ thống khó khăn hơn nhiều so với chỉ đơn giản là xóa thông tin master boot record này.

Rombertik là sự kết hợp giữa một mã độc truyền thống dùng để thu thập dữ liệu cá nhân khi người dùng duyệt web và cơ chế chống sự phát hiện của phần mềm bảo mật hoàn toàn mới. Dù không có nhiều thông tin về tác giả và mục tiêu thật sự của mã độc này, tuy nhiên với những kỹ thuật phức tạp trên cho thấy Rombertik có khả năng được sử dụng trong các hoạt động tình báo mạng và được dùng để tấn công có chủ đích vào một mục tiêu nào đó. Bạn có thể tham khảo thêm thông tin chi tiết tại trang blog của Cisco tại đây.

Nguồn tham khảo: Extremetech.com
46 bình luận
Chia sẻ

Xu hướng

Đọc xong đến đoạn cuối cùng, thôi khỏi phải tham khảo luôn
Thế GPT là bó tay à?
Túm váy lại là rất cao siêu nhưng không đáng ngại 😁. hết
@@ ngán nhỉ quất vào MBR byte 0 luôn
Ai có mẫu malware này gửi cho anh Q mọi chuyện xong hết
nghe nói tới tình báo. thì thôi kệ nó. Dân thường không cần lo chi mệt óc
Mình sử dụng GPT từ khi mình xài Windows 8, :oops: tạm biệt MBR:rolleyes:
vhtn8381
TÍCH CỰC
10 years
@npdong1994 ko bít mọi người sao chứ mềnh dị ứng cực vs win 8. Và win 7 của mềnh vẫn đang chạy trên UEFI,. đang hóng win 10 xem thía nào:p
@vhtn8381 khổ nỗi máy của mình cứ cài win 7 vào là lỗi với mò drive thấy mệt, bởi vì nó ra đã là tối ưu vs win 8 rồi 😁
"khả năng bắt các gói tin để thu thập dữ liệu cá nhân khi duyệt web" cái này hack nhầm ngay mấy bác FA chắc lại toàn link JAV thần chưởng, không khéo thu thập xong lại tẩu cmn hỏa mất 😕
May quá mình dùng GPT :p
Các máy sau này toàn GPT UEFI
Thế ổ cứng mình phân vùng GUID chứ không phải MBR thì có sao không :rolleyes:
vinhteo
ĐẠI BÀNG
10 years
@destructiveguy9x moiw bị dính chưởng ăn hành xong máy winxp bị mbr, cắm usb qua lại 1 lát máy win 8.1 ăn đạn, báo lổi winload.exe núp lùm
@vinhteo Bạn có xài Windows 8.1 UEFI không vậy? Nếu có thì làm sao cài được Windows XP? Win XP đâu có chạy được trên phân vùng GUID? 😁 Không biết ghost có sao lưu được trên UEFI không nhưng mà nếu bạn ghost Win XP lên phân vùng GUID có Windows 8.1 UEFI thì nó sẽ không boot vào XP được do nó không boot từ phân vùng EFI, nó sẽ nhận là không có phân vùng nào được active. Nếu lấy USB hiren là fix lại MBR rồi boot Windows 8.1 từ USB đó boot vào Windows 8.1 trên ổ cứng thì nó sẽ lỗi có thể bị lỗi winload.exe ;)
vinhteo
ĐẠI BÀNG
10 years
@destructiveguy9x à mình ghi thiếu chử máy nên bạn hiểu nhầm, máy win xp và máy win 8.1
Hèn chi dạo này máy không vào win được tăng lên đột biến nên làm ăn cũng kha khá, thay mặt thợ cám ơn mấy anh hacker.
hehe, qua win 8 (64bit) nó yêu cầu chuẩn uefi và mặc định là chạy GPT luôn mà?
Đây là cách mình sửa lỗi liên quan đến MBR
Bỏ đĩa win vào
Vào recovery console mở Command Promt
chạy lệnh:
bootrec.exe /fixboot
bootrec.exe /fixmbr

Vậy là xong 😁
@tung75605 hỏng cung mồi mbr khó xơi hơn thế nhiều, có thể không khôi phục được data chứ không như kiểu mất boot
Thông minh quá, hi vọng windows 10 sắp đến có biện pháp khắc phục, chứ nó lock Administrator ở C:\ thì làm ăn gì nữa Windows nhỉ 😃
@odouroflove Chạy với quyền system cao hơn cả Administrator bác ạ
chỉ có trên windows thôi à, mac chưa bị sao.
virut này nằm ngay trong chương trình test HDD của hirent boot mọi người cẩn thận nhé, mình bị 3 lần rồi nên chia sẻ cho mọi người. khi test HDD xong là bị mất luôn file MBR, sau khi ghost lại win hoặc cài lại thi màn hình tối đen chỉ hiện 1 vạch sáng ở góc. phải vào lại hirent boot để copy lại MBR
@minhthanh_kd01 Test bằng soft gì vậy? Hồi giờ my cái soft test trong HBoot test thấy có sao đâu.. :p
Triệu hồi anh Q

Xu hướng

Bài mới










  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019