A Cisco Talos csapatának kutatói egy új és igen veszélyes malware-ről számoltak be a blogjukon. A Rombertiknek elnevezett kártevő, ha észreveszi, hogy kutatnak utána, öngyilkos merényletet indít az áldozat számítógépe ellen.

Önmagában a Rombertik nem is különbözik tucatnyi más malware-től: megpróbálja megszerezni a felhasználó online adatait, jelszó/felhasználói név párosokat, hitelkártyaszámokat stb., és ezeket azután továbbküldi egy szerverre. Még az sem különbözteti meg sok egyéb károkozótól, hogy mindent megtesz saját álcázása érdekében, azonban ezt a tevékenységét az eddigieknél magasabb szintre helyezi - írja a HVG.

Amikor felkerül a számítógépre, kicsomagolja magát, és az így kapott tartalom 97 százaléka 75 képet és 8000 olyan funkciót tartalmaz, amit sohasem használ a malware. A rosszindulatú rész számos álcázó technikát bevet, például ellenőrzi, hogy nem sandboxban futtatják-e, illetve véletlenszerű bájtokat ír 960 millió alkalommal a memóriába (ha ennyi írási utasítást elemeznének, akkor a naplófájl több mint 100 GB-os lenne).

Ha viszont érzi a vesztét, azaz, hogy megpróbálják elemezni, először a Master Boot Recordot (a merevlemez partíciós szektorát) igyekszik tönkretenni a partíciós adatok felülírásával, és ha ezt valamilyen oknál fogva nem tudja megtenni, akkor a felhasználó mappájában lévő valamennyi fájlt véletlenszerű RC4 kulccsal titkosítja. Ezután már a gépet sem lehet újraindítani, és a kártevő még arról is gondoskodik, hogy a Windows újratelepítése is problémákba ütközzön.

A Rombertik elsősorban e-mailek csatolmányaként terjed, így ha el akarjuk kerülni, még véletlenül se nyissunk meg olyan mail-csatolmányt, amelyről nem tudjuk, kitől érkezik.