Glaubt sie entdeckt worden zu sein, macht sie die Festplatte des angegriffenen Computers unbrauchbar und zerstört sich so selbst. Daneben ermittelt der Schädling alle Aktivitäten, die der Anwender mit dem infizierten Rechner im Internet unternimmt. Die Verteilung des Schädlings erfolgt als E-Mail-Anhang von Spam- oder Phishing-Mails, die besonders geschickt getarnt sind. Wie es heißt, ahmt die infizierte Mail den Absender "Windows Corporation" nach. Startet ein Nutzer unwissentlich die Installation des Schädlings, analysiert Rombertik zuerst die Umgebung und prüft, ob er zum Beispiel in einer sogenannten "Sandbox"-Umgebung läuft, also einem isolierten Bereich des PC, der keinen Auswirkungen auf den Rest des Rechners hat. Antivirensoftware benutzt so etwas, um verdächtige Software zu analysieren.
Erst, wenn dies ausgeschlossen ist, installiert sich die Malware. Bevor sie ihre Arbeit aufnimmt, prüft sie erneut, ob sie von einen Virenscanner beobachtet wird. Falls ja, versucht sie, den sogenannten Master Boot Rekord auf der Festplatte des Rechners zu löschen, um ihn unbrauchbar zu machen. Wenn das nicht klappt, macht Rombertik alle Nutzerdaten auf der Startfestplatte des Computers unbrauchbar, indem er sie verschlüsselt und den PC dazu bringt, in eine Endlosschleife von Neustarts zu verfallen.
Auch wenn es so weit nicht kommt, macht Rombertik Analysesoftware die Arbeit schwer: Um nicht aufzufallen, versteckt sich die Malware. Ist das 28 kB kleine Installationspaket ausgepackt, wird es 1264 kB groß und gaukelt 8000 Programmfunktionen vor. Diese werden zwar nicht genutzt, machen die Analyse aber extrem aufwendig.
Um sicherzustellen, dass das Programm nicht entdeckt wird, sollte es doch in einer Sandbox laufen, wendet es einen weiteren perfiden Trick an: Rombertik schreibt eine Datei von einem Byte in einen Speichersektor - 960 Millionen Mal. Allein durch die Protokollierung dieser Prozesse würde eine Protokolldatei von 100 Gigabyte Größe entstehen, so Talos.
Erst, wenn dies ausgeschlossen ist, installiert sich die Malware. Bevor sie ihre Arbeit aufnimmt, prüft sie erneut, ob sie von einen Virenscanner beobachtet wird. Falls ja, versucht sie, den sogenannten Master Boot Rekord auf der Festplatte des Rechners zu löschen, um ihn unbrauchbar zu machen. Wenn das nicht klappt, macht Rombertik alle Nutzerdaten auf der Startfestplatte des Computers unbrauchbar, indem er sie verschlüsselt und den PC dazu bringt, in eine Endlosschleife von Neustarts zu verfallen.
Auch wenn es so weit nicht kommt, macht Rombertik Analysesoftware die Arbeit schwer: Um nicht aufzufallen, versteckt sich die Malware. Ist das 28 kB kleine Installationspaket ausgepackt, wird es 1264 kB groß und gaukelt 8000 Programmfunktionen vor. Diese werden zwar nicht genutzt, machen die Analyse aber extrem aufwendig.
Um sicherzustellen, dass das Programm nicht entdeckt wird, sollte es doch in einer Sandbox laufen, wendet es einen weiteren perfiden Trick an: Rombertik schreibt eine Datei von einem Byte in einen Speichersektor - 960 Millionen Mal. Allein durch die Protokollierung dieser Prozesse würde eine Protokolldatei von 100 Gigabyte Größe entstehen, so Talos.
