Rombertik

Rombertik
Información general
Tipo de programa	virus informático
	[editar datos en Wikidata]

Rombertik es un software espía diseñado para robar información confidencial de objetivos que utilizan Internet Explorer, Firefox o Chrome que se ejecutan en ordenadores con Windows.^[1] Fue publicado por primera vez por investigadores del Grupo de Inteligencia y Seguridad de Cisco.^[2]

Operación editar

Rombertik emplea varias técnicas para dificultar el análisis o la ingeniería inversa. Más del 97% del archivo es código o datos innecesarios destinados a abrumar a los analistas. Recorre el código cientos de millones de veces para retrasar la ejecución y comprueba los nombres de archivo y los nombres de usuario utilizados por Malware Análisis Sandboxes.

Si Rombertik detecta una modificación en el tiempo de compilación o en el recurso binario en la memoria, intenta sobrescribir el Registro de arranque principal (MBR) en el disco duro principal.^[3] El MBR contiene el código necesario para iniciar el sistema operativo, así como información sobre dónde se almacenan las particiones en el disco duro. Aunque los datos del usuario permanecen en el disco duro, el sistema operativo no puede acceder a ellos sin el MBR. En algunos casos, es posible recuperar datos de un disco duro con un MBR modificado.^[4]

Si el malware no tiene los permisos necesarios para sobrescribir el MBR, cifra cada archivo en el directorio de inicio de la víctima. Esta técnica de cifrado de directorios es similar al ransomware, pero Rombertik no intenta extorsionar a sus víctimas. Los archivos cifrados con una clave segura pueden ser casi imposibles de recuperar.^[5]

Promocionado a través de correos electrónicos no deseados y de phishing, una vez que Rombertik está instalado, inyecta código en los procesos en ejecución de Internet Explorer, Firefox y Chrome.^[6] El código inyectado intercepta los datos web antes de que el navegador los cifre y los reenvía a un servidor remoto.^[1]

Referencias editar

↑ ^a ^b «Threat Spotlight: Rombertik». Cisco Blogs. 4 de mayo de 2015.
↑ «Rombertik, el virus que se autodestruye y acaba con el PC». abc. 7 de mayo de 2015. Consultado el 25 de noviembre de 2020.
↑ «Self-destructing virus kills off PCs». BBC News. 5 de mayo de 2015.
↑ «Partition Recovery Concepts». Active Data Recovery Software. Consultado el 8 de mayo de 2015.
↑ Lemos, Robert (13 de junio de 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus.
↑ «How to Remove Rombertik Malware». Wenzler Neo. Consultado el 11 de mayo de 2015. >

[Cisco_Blog-1] «Threat Spotlight: Rombertik». Cisco Blogs. 4 de mayo de 2015.

[2] «Rombertik, el virus que se autodestruye y acaba con el PC». abc. 7 de mayo de 2015. Consultado el 25 de noviembre de 2020.

[BBC_News-3] «Self-destructing virus kills off PCs». BBC News. 5 de mayo de 2015.

[NTFS-4] «Partition Recovery Concepts». Active Data Recovery Software. Consultado el 8 de mayo de 2015.

[SecurityFocus-5] Lemos, Robert (13 de junio de 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus.

[Rombertik_Malware-6] «How to Remove Rombertik Malware». Wenzler Neo. Consultado el 11 de mayo de 2015. >

[1]

[2]

[3]

[4]

[5]

[6]