EL MALWARE QUE ATACA AL MASTER BOOT RECORD. ROMBERTIC

Master boot record

El Rombertik es un malware de alta peligrosidad que se agarra a los navegadores para leer las credenciales y otra información sensible del usuario.

Rombertik recoge información de todos los sitios web de una manera indiscriminada y masiva.

Rombertik se propaga a través del spam y mensajes de phishing enviados a los usuarios utiliza tácticas de ingeniería social para atraer a los usuarios a descargar, descomprimir y abrir los archivos adjuntos que finalmente resultan contener el malware.
Esta siendo distribuido a traves de un email falso de windows inquiry con un fichero adjunto en formato pdf, cuando en realidad es un fichero ejecutable.
En cuanto se hace doble click sobre el archivo adjunto empieza a ejecutarse el malware rombertik.

El tamaño del malware orginal es de 28KB, el cual puede ser inflado para hacer que tenga un tamaño de hasta 1264KB, asi es mas facil de hacerse pasar por un archivo en formato pdf.

Master Boot Record o MBR: Es un tipo especial de sector de arranque de los dispositivos de almacenamientos (disco duro).
Contiene toda la información de la parición del disco asi como el sistema de archivos).
En el caso de perderse o modificase el MBR no tendriamos acceso a ninguna informacion almacenada en el disco duro.

Esta es la forma de actuar del Rombertik

  • Después de la instalación, se crea una segunda copia de sí mismo.
  • Comienza el proceso de espiar el contenido del ordenador infectado.
  • Despues Rombertik realiza una verificación para asegurarse de que no se está analizando en la memoria.
  • En el caso que detecta que se le analiza, Rombertik intentará destruir el Master Boot Record y reiniciar el equipo para inutilizarlo.

La gran diferencia de este malware con los demas es que una vez que infecta un ordenador crea una copia de seguridad por decirlo asi de si mismo, para evitar manipulaciones en el propio malware.
O dicho de otra manera, cuando lo detecta alguna aplicacion de seguridad (antivirus, anti-malware, firewall...) empieza a ejecutarse la copia de seguridad del malware actuando de forma directa sobre el Master Boot Record.

Descripción tecnica del Rombertik

MD5 e2c70be844ee25794203736b52c7d7ce
SHA1 8bd697f806a0e9c14dc32b25d994c6f2951b73b2
Tamaño del fichero 25.0 KB ( 25600 bytes )
SHA256: 862a7f2996ad69bb8d72fff1ad7b3a4ea481ae948b2ecb79cac9fa1fc830bb60

Fuente: Cisco