Rombertik - Seu computador em risco novamente

Sempre ouvimos para termos cuidado porque tem sempre um "vírus" que vai entrar no seu computador e vai destruir todo o computador, certo ? Bom, muito disso são "lendas urbanas" a destruição física de um equipamento por um código de software é uma coisa que, pelo menos eu nunca ouvi falar e sendo levada a sério.

No entanto, temos visto um crescimento na quantidade de malwares desenvolvidos com a capacidade de se alto-destruir, tentando ao máximo não permitir a análise de seu código.

O Rombertik não é diferente. Segundo analistas o código do malware é extremamente complexo e muito bem desenhado, e traz alguns truques que dificultam e muito o trabalho de análise e avaliação do código.

Como a maioria dos vírus e malwares a instalação se dá em equipamentos com sistemas operacionais desatualizados, e neste caso usando o email como porta de entrada. Assim que é acionado, um dos primeiros passos feitos pelo malware é uma ampla varredura na máquina buscando ferramentas de análise e tentando identificar se esta rodando em uma "sandbox", um ambiente separado da estrutura para isolar o código do restante do sistema.

Assim que percebe que esta rodando em um sistema legítimo, inicia o processo de instalação e de decriptografia do seu código fonte. Este é outro aspecto bem interessante do malware, este apresenta várias camadas de métodos de obfuscação, técnica usada para "enganar" ferramentas de análise, anti-vírus e analistas.

Mas, para quê serve este malware afinal ? Neste ponto ele não se difere de muitos outros que estão no "mercado" negro dos códigos maliciosos, o que ele buscar é o máximo de informações dos usuários, tentando capturar credenciais, senhas, contas bancárias e muitas outras informações. Mas, diferente de códigos especializados, o Rombertik é muito mais indiscriminado com relação a informações, ou seja, ele tenta capturar todas as informações possíveis trafegando em todos os sites que o usuário tem acesso.

Como falamos antes, o Rombertik usa spam e phishing para distribuir um email para ludibriar o usuário a fazer o download do código. Na imagem abaixo podemos ver um dos exemplos de emails que estão sendo usados para distribuir o vírus.

Como pode ser visto no exemplo de email, o email tenta se parecer com um email oficial enviado pela Windows Corporation, uma empresa que diz vender produtos de "state-of-the-art"para processos de qualidade.

Mesmo parecendo ter um arquivo PDF em anexo, uma análise melhor do arquivo mostra que é um arquivo .src, um arquivo de screensaver que na verdade contém o próprio código do malware.

Como falamos antes, este malware é cheio de mecanismos de validação, e sua última fase de análise é uma verificação para saber se não esta sendo analisado em execução na memória, caso este teste falhe o próprio malware inicia o processo de auto-destruição e no processo ele destrói a MBR (Master Boot Record) que é uma partição do disco rígido que contem as informações de boot/inicialização da máquina. 

Depois de se destruir e destruir a MBR, ele prossegue com a reinicialização da máquina, e como a MBR foi destruída, quando o sistema buscar estas informações não vai encontrar e não encontrando não vai conseguir inicializar o computador, o que na prática vai levar a reinstalação do sistema e potencialmente a perda de todas as informações do computador. Na imagem abaixo, feita pela Telus, empresa que fez a análise, podemos ver o processo como um todo.

Aqui poderíamos ainda falar muita coisa sobre este malware, a grande maioria muito técnica para ter validade para o usuário final assim quem tiver mais interesse de entender melhor este malware, pode ter muito mais informações neste >link<, em um post feito no blog da CISCO.

Vamos fechar nosso posto com algumas sugestões básicas para os usuários. Primeiros e a mais comum de todas, mantenha seu sistema operacional sempre atualizado e com seu antivírus também atualizado. Segundo, não abra emails e anexos de pessoas que você não conheça e mesmo conhecendo verifique com cuidado se o que foi enviado parece ser um contato legitimo, veja se a forma de se comunicar parece com a de seu contato, caso alguma coisa possa parecer estranha, entre em contato com a pessoa que enviou o email para confirmar o envio e o que é o arquivo. Terceira e última, mas não menos importantes, tenha sempre o backup das informações de seu computador em algum lugar externo ao computador. Hoje existem muitas soluções online de backup que podem ser acessadas diretamente de outras máquinas ou quando precisar restaurar o seu sistema.

Por último, ter bom senso em suas navegações e uso da Internet sempre vai eliminar a grande maioria das perigos e riscos da rede, lembre-se os atacantes contam com a sua curiosidade e falta de cuidado para espalhar os seus vírus.

Até a próxima.