کشف عملکرد بدافزار Rombertik

به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از مرکز ماهر، بن بیکر و الکس چو از گروه سیستم های سیسکو در وبلاگی اظهار داشتند که بدافزار جاسوس افزار جدید Rombertik دارای ساختار و سیستمی کاملا پیچیده با چندین لایه مبهم و عملکرد ضد تجزیه و تحلیل است.

جاسوس افزار Rombertik برای جمع آوری داده از سیستم های آنلاین قربانیان  طراحی شده است و تمرکز بر روی موضوعی خاص مانند بانکداری اینترنتی و رسانه های اجتماعی ندارد بلکه کلیه سیستم های آنلاین را تحت تاثیر قرار می دهد. پس از آنکه این بدافزار از طریق کمپین های سرقت هویت و یا پیوست های مخرب ایمیل بر روی سیستمی دانلود شد، مجموعه ای از بررسی های ضد تجزیه و تحلیل را اجرا می کند. سپس خودش را رمزگشایی کرده و بر روی رایانه قربانی نصب می کند. در ادامه دومین نسخه از خودش را راه اندازی کرده و با عملکرد جاسوسی بازنویسی می کند.

این جاسوس افزار بدافزاری غیرعادی است زیرا به گونه ای طراحی شده است که نمی توان آن را تشخیص داد و تجزیه و تحلیل کرد. با توجه به یافته های سیسکو، پیش از آنکه این بدافزار شروع به جاسوسی بر روی سیستم قربانی کند، بررسی نهایی را اجرا می کند تا تشخیص دهد که آیا در حافظه تجزیه و تحلیل می شود یا خیر. اگر این بررسی با شکست مواجه شود، رکورد مستر بوت (MBR) رایانه هدف را تخریب می کند.

محققان موفق شدند تا این بدافزار ار مهندسی معکوس کنند و دریافتند که Rombertik از "garbage code" برای پر کردن سطوح کدی که تجزیه و تحلیل می شود استفاده می کند. این گروه از نمونه کوچکی از این بدافزار تصویر برداری کردند و دریافتند که حجم این نمونه تنها 28 کیلو بایت است در حالی که حجم نمونه بسته بندی شده آن 1264 کیلو بایت است به علاوه تعداد زیادی تصاویر و توابعی که هرگز استفاده نمی شوند.

این جاسوس افزار هم چنین بررسی می کند که آیا مولفه yfoye.exe در حال اجراست یا خیر. در صورتیکه جواب بررسی مثبت باشد این بدافزار سعی می کند تا MBR را بازنویسی کند. اگر موفق نشد برنامه B را اجرا می کند که شامل تخریب تمامی فایل ها در فولدر home کاربر است.