Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/5/2015
Sikkerhedsforskere har fundet et stykke skadelig software, der sletter indhold fra harddisken, hvis det opdager, at man forsøger at analysere det.Programmet, som forskerne fra Cisco Talos Group kalder Rombertik, er en datatyv. Formålet med det er at opsnappe passwords og andre fortrolige data fra den pc, som det bliver installeret på.
Udviklerne af Rombertik ønsker ikke, at antivirusprogrammer eller sikkerhedsforskere skal gennemskue, hvordan programmet virker. Derfor har de indlagt en række hindringer for at analysere det.
Analytikere kører gerne malware i virtuelle maskiner eller sandkasser for at undgå, at programmet volder skade. Rombertik undersøger i flere omgange, om det kører i en sandkasse. Hvis det er tilfældet, sletter det MBR (Master Boot Record) på harddisken i computeren. Den indeholder information om, hvor data er placeret, så i praksis bliver disken ulæselig.
Er det ikke muligt, krypterer Rombertik brugerens dokumenter.
Hvis Rombertik har slettet disken i en computer, kan det ses ved, at computeren viser fejlmeddelelsen Carbon crack attempt, failed.
Forskerne har ikke før set malware, der så aggressivt prøver at undgå analyse. Men de venter, at flere skadelige programmer fremover vil anvende lignende metoder.
Anbefaling
Beskyt pcer mod skadelig software med antivirus og andre sikkerhedsmekanismer.