Si el malware Rombertik no tiene permisos para sobrescribir el MBR del disco duro, en su lugar intentará destruir todos los archivos en la carpeta de inicio del usuario (por ejemplo C:/Documents and Settings/Usuario) cifrando cada archivo con una clave aleatoria generada en RC4. Rombertik tiene además avanzadas técnicas anti-debugging para no ser analizado, y si es descubierto consuma su venganza escribiendo en el sector de arranque del disco duro, el MBR.






Talos, es uno de los grupos de investigación en seguridad de Cisco Systems, explica que lleva tres mecanismos capaces de detectar si hay un análisis antivirus en marcha y si ha sido cazado. Es entonces cuando pasa al ataque pudiendo llegar a destruir los archivos de la carpeta de inicio del usuario.

Algunos otros malware, como Dyreza, tratan también de averiguar si se está ejecutando dentro de un ambiente de investigación y análsis de malware , y se comporta de un modo totalmente inocente de ser así.

Efectivamente, Rombertik comienza a comportarse como una muestra de malware wiper, destrozando el equipo del usuario si detecta que está siendo analizado.

Rombertik se propaga mediante técnicas de spam a través de correos electrónicos maliciosos y tiene el objetivo de conseguir toda la información introducida en nuestro navegador web, especialmente nombres y contraseñas de usuario. Los datos se envían a un centro de comando y control a través de HTTP.

Aunque este archivo puede parece ser algún tipo de PDF desde el icono o miniatura, el archivo en realidad es un archivo ejecutable que contiene salvapantallas .SCR Rombertik. Una vez que el usuario hace clic doble para abrir el archivo, Rombertik comenzará el proceso de poner en peligro el sistema.

Una vez que los usuarios abran el archivo adjunto Rombertik primero comprobar si se está ejecutando en un entorno limitado. Entornos Sandbox son muy a menudo utilizados por los investigadores para analizar malware y se comprueba periódicamente en busca de malware de la presencia de este tipo de entornos de análisis.

En caso de que no hay ninguna "caja de arena", la instalación continúa. Rombertik está diseñado para robar contraseñas de los navegadores. Antes de que no se trata de una revisión final aún se lleva a cabo con el fin de comprobar que el malware no se analiza a través de la memoria. .Si esta comprobación falla Rombertik  destruye el MBR y sobrescribe particiones con "byte nulo", por lo que la recuperación de datos a partir de estas particiones es difícil. El MBR se ajusta más para que el equipo entra en un bucle de reinicio infinito.

El proceso por el cual Rombertik compromete el sistema de destino es bastante complejo con controles anti-análisis en el lugar para evitar que el análisis estático y dinámico. Tras la ejecución, Rombertik se detendrá y luego se ejecutará de nuevo a través de un primer conjunto de controles anti-análisis para ver si se está ejecutando dentro de una caja de arena (sandbox).

 Una vez que estos controles son completos, Rombertik procederá a descifrar y instalarse en el ordenador de las víctimas para mantener la persistencia. Después de la instalación, que será lanzada una segunda copia de sí mismo y sobrescribir la segunda copia con funcionalidad principal del malware.

Antes de eso Rombertik comienza el proceso de espiar a los usuarios, Rombertik llevará a cabo una vez que la última verificación para asegurarse de que no se está analizando en la memoria. Si esta comprobación falla, Rombertik intentará destruir el Master Boot Record y reiniciar el equipo para inutilizarlo.

El siguiente gráfico ilustra el proceso.

Técnicas anti-reversing (Ofuscación, anti-debugging, anti-análisis, anti-sandboxing)

En este caso, la muestra de  Rombertik desempacado ocupa sólo 28KB mientras que la versión normal pesa alrededor de 1264KB. Más del 97% del archivo empaquetado se dedica a hacer que archivo parezca legítimo incluyendo 75 imágenes y más de 8.000 funciones que nunca se utilizan. Esta empacador intenta abrumar analistas ya que es casi imposible mirar cada función.

 • Trata de eliminar el Master Boot Record (MBR)

El MBR es el primer sector de datos en el disco duro, conocido como el Master Boot Record, y mantiene un índice de cómo se reparte el disco.

Limpiando el MBR es en realidad una forma rencorosa de proceder, ya que te deja tan cerca, pero tan lejos.

Técnicamente hablando, todos sus datos se queda atrás, así que con la experiencia o de recuperación de herramientas adecuadas es muy posible recuperarlo, pero casi seguro que no, sin un montón de frustración en el camino.

El Master Boot Record comienza con código que se ejecuta antes de que el sistema operativo. El malware sobrescribe el MBR contiene el código para imprimir

Carbon crack attempt, failed

 luego entra en un bucle infinito evitar que el sistema siga arrancar.

El MBR también contiene información sobre las particiones de disco. La alteración del MBR sobrescribe los bytes para estas particiones con bytes nulos, lo que hace aún más difícil la recuperación de datos del disco duro saboteado.

Una vez que se reinicie el equipo, equipo de la víctima se ha quedado atascado en esta pantalla hasta que se vuelve a instalar el sistema operativo:



Afortunadamente, escribir en el MBR requiere privilegios de administrador en Windows, por lo que un programa dirigido por un usuario normal no puede hacerlo.

Si falla en destrozar el MBR, Rombertik lo vuelve a intentar con en esto:

• A partir de la carpeta de inicio, sobrescribe casi todos los archivos.

En lo que es casi seguro que un poco de humor macabro de los ladrones, Rombertik funciona como un ransomware , cifrando los archivos en el lugar en el disco.

El malware elige una clave de cifrado de 256 bytes al azar para cada archivo, pero ninguna de las teclas se guarda en cualquier lugar, por lo que terminan con lo que es efectivamente aleatoria, repollo rallado en lugar de sus datos.


Sólo los archivos con las extensiones .EXE, .DLL, .vxd y .DRV sobreviven..

Origen:
http://blogs.cisco.com/security/talos/rombertik