Rombertik: Casusluk yapan Malware (kötü amaçlı yazılım) araştırılıdığında kendisini yok ediyor.
Yeni keşfedilen 'Rombertik' adlı malware güvenlik uzmanlarını şaşkına çevirdi. İlk başta alıştığımız bir malware gibi gözüken 'Rombertik' aslında tamamen yeni ve değişik bir davetsiz misafir; çünkü onu analiz/temizlemeye çalıştığınız an ateşe ateş ile karşılık veriyor.
Bu malware kullanıcının bir Phishing mesajinın içinde olan bağlantıya tıklamasıyla bulaşıyor. Ondan sonra sistemdeki güvenlik açıgını kullanıp sisteme sızıyor. Bundan sonra 'Rombertik' oldukça dikkat çekmeden sistemde "yaşıyor" ve bilgisayarınızda ne yapıyorsanız takip ediyor. Özellikle internet sayfalarında yazdıklarınızı mesela Facebook'ta kullanıcı adı ve şifreyi kaydediyor ve dışarıya aktarıyor.
Şimdiye kadar herşey bildiğimiz sıradan bir malware özelliği olsada, asıl şaşırtan detay şimdi geliyor:
Bu malware kullanıcının bir Phishing mesajinın içinde olan bağlantıya tıklamasıyla bulaşıyor. Ondan sonra sistemdeki güvenlik açıgını kullanıp sisteme sızıyor. Bundan sonra 'Rombertik' oldukça dikkat çekmeden sistemde "yaşıyor" ve bilgisayarınızda ne yapıyorsanız takip ediyor. Özellikle internet sayfalarında yazdıklarınızı mesela Facebook'ta kullanıcı adı ve şifreyi kaydediyor ve dışarıya aktarıyor.
Şimdiye kadar herşey bildiğimiz sıradan bir malware özelliği olsada, asıl şaşırtan detay şimdi geliyor:
Ne zaman bu malware'i analiz etmek isterseniz, bundan hemen haberdar oluyor. Nasıl diye sorarsanız: Sistemde çalışan tüm işlemleri takip eden malware kendini analiz etmek isteyen işlemi hemen tespit ediyor ve saldırıya uğrayacağını anlıyor. Bundan sonra hemen kendinisini savunmaya başlıyor.
Savunma sırasında bilgisayarı resmen çökertiyor; bu davetsiz misafir Master Boot Record (Bootloader'in olduğu partition) bölümünün üzerine yazıyor ve bilgisayarı sonsuz bir acılıp-kapanma döngüsüne sokuyor. Buna parallel olarak hafızaya 960milyon kere 1 Byte büyüklüğünde veri yazıyor.
Bunu yapmasının sebebi, bilgisayarın CPU güçünü bu işleme yöneltmek; böylece Anti-Virus-Programlari vb. Rombertik'i analiz edemeyecek duruma geliyor.
Cisco güvenlik uzmanları şimdiye kadar böyle bir malware ile karşılaşmadıklarını aktardı ve eklediler: Normalde malware yazan kişiler, eserlerinin yakalanmaması için kamufle ederlerki, yakalandığında bile malware'nin bir parçası halen sistemin bir köşesinde kullanıcının haberi olmadan devam yaşasın. Alışılmışların aksine 'Rombertik' kendisiyle beraber tüm sistemide yok ediyor. Bunu yaşayan kullanıcılar işletim sistemini tekrar yüklemesi gerekiyor.
Savunma sırasında bilgisayarı resmen çökertiyor; bu davetsiz misafir Master Boot Record (Bootloader'in olduğu partition) bölümünün üzerine yazıyor ve bilgisayarı sonsuz bir acılıp-kapanma döngüsüne sokuyor. Buna parallel olarak hafızaya 960milyon kere 1 Byte büyüklüğünde veri yazıyor.
Bunu yapmasının sebebi, bilgisayarın CPU güçünü bu işleme yöneltmek; böylece Anti-Virus-Programlari vb. Rombertik'i analiz edemeyecek duruma geliyor.
Cisco güvenlik uzmanları şimdiye kadar böyle bir malware ile karşılaşmadıklarını aktardı ve eklediler: Normalde malware yazan kişiler, eserlerinin yakalanmaması için kamufle ederlerki, yakalandığında bile malware'nin bir parçası halen sistemin bir köşesinde kullanıcının haberi olmadan devam yaşasın. Alışılmışların aksine 'Rombertik' kendisiyle beraber tüm sistemide yok ediyor. Bunu yaşayan kullanıcılar işletim sistemini tekrar yüklemesi gerekiyor.
