新しいタイプのマルウェアは、セキュリティチェック中に検出された場合、コンピューターの機能を停止させるという手段に訴えており、被害者にとって特に壊滅的な打撃となる。
シスコシステムズが「Rombertik」と名付けたこのマルウェアは、ブラウザウィンドウに入力されたプレーンテキストを傍受するように設計されています。シスコのTalos Groupブログによると、このマルウェアはスパムやフィッシングメッセージを通じて拡散しているとのことです。
Rombertik は、Windows コンピュータ上で起動して実行されると、検出されたかどうかを確認するためにいくつかのチェックを実行します。
この動作は一部のマルウェアでは珍しいことではないが、Rombertik は「マルウェア分析に関連する特定の属性を検出すると、積極的にコンピューターを破壊しようとする点で独特である」と Talos Group の Ben Baker 氏と Alex Chiu 氏は書いている。
このような「ワイパー」マルウェアは過去にも使用されており、特に2013年には韓国を標的に、昨年はソニー・ピクチャーズ・エンタテインメントを標的とした攻撃が行われた。米国政府はこの攻撃を北朝鮮によるものとしている。
Rombertikが行う最後のチェックは最も危険です。メモリ内のリソースの32ビットハッシュを計算し、そのリソースまたはコンパイル時間のいずれかが変更された場合、Rombertikは自己破壊を引き起こします。
Cisco SystemsのTalosブログまず、マスターブートレコード(MBR)を狙います。MBRは、PCがオペレーティングシステムをロードする前に参照するハードドライブの最初のセクターです。RombertikがMBRにアクセスできない場合、ユーザーのホームフォルダ内のすべてのファイルをランダムなRC4キーで暗号化することで、実質的に破壊します。
MBRまたはホームフォルダのいずれかが暗号化されると、コンピュータが再起動します。MBRは無限ループに入り、コンピュータの再起動ができなくなります。画面には「Carbon crack attempt, failed.(Carbonクラック試行、失敗)」と表示されます。
コンピュータに初めてインストールされると、マルウェアは自身を解凍します。解凍されたファイルの内容の約97%は、正規のマルウェアに見えるように設計されており、75枚の画像と、実際には決して使用されない8,000個の偽装関数で構成されています。
「このパッカーは、すべての関数を調べることを不可能にすることでアナリストを圧倒しようとしている」と Talos は書いている。
また、サンドボックス化、つまりコードをチェックアウトするまでしばらく隔離する手法も回避しようとします。一部のマルウェアは、サンドボックス内での期間がタイムアウトして起動できることを期待して、サンドボックス内での期間を待ちます。
しかし、Rombertik は起動したまま、1 バイトのデータを 9 億 6000 万回メモリに書き込むため、アプリケーション トレース ツールによる分析が複雑になります。
「分析ツールが9億6000万の書き込み命令をすべて記録しようとすると、ログは100ギガバイト以上に膨れ上がるだろう」とTalosは書いている。
