Atsargiai - paranojiškas virusas: už jo aptikimą keršija sistemos sunaikinimu

Kompanijos Cisco Systems specialistai rado naują virusą, kuris bando rimtai pakenkti kompiuteriams, jei jį aptinka antivirusinės programos, rašo puslapis ExtremeTech. Virusas pavadintas Rombertik, jo pagrindinė funkcija yra į naršyklę įvedamo teksto perėmimas.

Virusas Rombertik, patekęs į Windows kompiuterius, atlieka keletą patikrinimų, ar jo neaptiko antivirusinės programos. Jei tik jis pastebi, kad jo kodas bandomas susieti su kenkėjiška veikla, pradedamas sistemos griovimo procesas.

Savo destrukciniu charakteriu naujasis virusas labai panašus į tą, kuris 2013 m. buvo naudojamas kibernetinėms atakoms prieš P. Korėją, taip pat į 2014 m. aptiktą kenkėją, naudotą puolimui prieš kompanijos Sony sistemas.

Aptiktas virusas iš pradžių bando atakuoti duomenų kaupiklio įkrovos įrašą (Master Boot Record, MBR); jei gauti prieigos prie jo nepavyksta, virusas naikina vartotojų paskyros kataloge esančius failus, juos šifruodamas atsitiktiniu RC4 raktu.

Vėliau kompiuteris perkraunamas ir MBR patenka į begalinį persikrovimų ciklą, kuris neleidžia operacinei sistemai pasikrauti. Tuomet ekrane rodomas užrašas „Carbon crack attempt, failed“.

Patekęs į kompiuterį, virusas save išpakuoja, tuo tarpu 97% jo turinio sudaro failai – „apgaulės“, t.y. 75 įvairūs paveiksliukai ir 8000 dėmesį nukreipiančių funkcijų, kuriuos iš tikrųjų praktiškai nenaudojamos. Jos tiesiog turėtų nukreipti antivirusinių dėmesį.

Rombertik bando išvengti patekimo į „smėlio dėžę“ (sandbox), kai jo kodas yra tikrinamas. Virusas šiuo atveju pradeda įrašinėti į atmintį po vieną baitą duomenų 960 mln. kartų, ir jei antivirusinė bando užfiksuoti visus įrašymo ciklus, failo dydis viršija 100 GB.

FACEIT.LT – IT Naujienos

   

Facebook komentarai