Rombertik: Neue aggressive Malware wird als PDF getarnt per E-Mail verteilt

Eine neue Malware ist von Forschern der Talos Group entdeckt worden. "Rombertik" – heißt die Windows-Schadsoftware und sammelt alle Informationen über Internetaktivitäten eines Nutzers, darunter auch Zugangsdaten zu Online-Bank-Konten.

Wird die Malware von einem Analyse-Tool entdeckt, versucht sie den Master Boot Record (MBR), oder Systemdaten zu beschädigen.

Die Malware ist als PDF-Datei getarnt und wird per E-Mail-Anhang verteilt. Solche E-Mails können zum Beispiel mit dem Absender „Windows Cooperation“ versehen sein. Öffnet der Nutzer den Anhang, was man bei E-Mails grundsätzlich nie unüberlegt tun sollte, installiert sich die Schadsoftware.

Hat sich die Malware installiert agiert sie bis zu ihrer Entdeckung unbemerkbar im Hintergrund. Wurde sie aber aufgespürt, versucht sie den MBR mit Nullen zu überschreiben. Misslingt dies versucht die Malware Systemdaten per RC4 zu verschlüsseln. Als Resultat hängt der Rechner in einer Neustart-Endlosschleife fest und ist unbrauchbar.

Hat Rombertik den MBR eines Systems gelöscht, sind die Daten zwar nicht unwiederbringlich verloren, eine Wiederherstellung ist auf Grund der Methode, mit der alle Daten im MBR mit Nullen überschrieben werden, allerdings nicht ganz einfach.

Bislang gibt es keine Informationen, was mit den gesammelten Daten konkret passiert, und wohin sie gelangen. (dk)