Enter Dot Com > News > ระวัง! มัลแวร์ใหม่ตัวแสบ Rombertik ทำลายคอมพิวเตอร์เมื่อตรวจพบ

ระวัง! มัลแวร์ใหม่ตัวแสบ Rombertik ทำลายคอมพิวเตอร์เมื่อตรวจพบ

June 19, 2015

เป็นปัญหา ใหม่ในรูปแบบ Malware ที่อาจทำให้คอมพิวเตอร์เกิดความผิดพลาดในการทำงานได้ ซึ่งมีการตรวจพบจากระบบความปลอดภัย เรียกว่าเป็นภัยคุกคามที่น่าหวาดหวั่นอย่างยิ่งเมื่อตกเป็นหยื่อ ด้วยมัลแวร์ที่ชื่อว่า Rombertik จากรายงานของ Cisco System โดยจะแพร่กระจายตัวผ่านทางข้อความในรูปแบบของ Spam และ Phishing ตามรายงานที่ได้จาก blogs.cisco เมื่อวันจันทร์ที่ผ่านมา

blogs-cisco-1

โดย ที่ Rombertik อาจรอดจากการตรวจสอบหรือไม่ ขึ้นอยู่กับการทำงานของเครื่องคอมพิวเตอร์และวินโดวส์ที่จะมีมาตรการตรวจสอบ มากน้อยเพียงใด ซึ่งมัลแวร์จะแสดงพฤติกรรมที่ไม่เหมือนทั่วๆ ไป แต่ Rombertik จะมุ่งเน้นไปที่ความพยายามในการทำลายระบบคอมพิวเตอร์ ด้วยการตรวจพบคุณลักษณะบางอย่างจากการวิเคราะห์มัลแวร์นี้ ซึ่งก็ดูคล้ายกับมัลแวร์ในอดีตที่ชื่อ Wiper โดยเฉพาะอย่างยิ่งในกรณีเกิดขึ้นกับเกาหลีใต้และโซนี่พิคเจอร์ในวงการ บันเทิงเมื่อช่วงปี 2013 ที่ผ่านมานั่นเอง

Rombertik มีความซับซ้อนที่ออกแบบให้เข้าไปในเบราว์เซอร์ของผู้ใช้ เพื่อเข้าไปอ่านข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ สำหรับการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมการโจมตีคล้ายกับ Dyre แต่จะต่างกันตรง Dyre ถูกออกแบบเพื่อมุ่งเป้าไปยังข้อมูลธนาคาร แต่ Rombertik จะรวบรวมข้อมูลจากเว็บไซต์ที่มีลักษณะสำคัญ โดยจะแพร่กระจายผ่านทาง Spam และ Phishing ข้อความไปยังผู้ที่ตกเป็นเหยื่อ เช่นเดียวกับพฤติกรรมของ Spam และ Phishing ที่ใช้กลยุทธ์ในการโจมตีในลักษณะของระบบโซเชียล ในการดึงดูดผู้ใช้ด้วยการดาวน์โหลดและเปิดไฟล์ที่แนบมาด้วย อันเป็นรูปแบบที่ง่ายที่สุดนั่นเอง โดยครั้งแรกจะมุ่งไปที่ Master Boot Record (MBR) ของฮาร์ดไดรฟ์ของคอมพิวเตอร์ ที่จะเป็นตัวที่โหลดก่อนเข้าระบบปฏิบัติการ หาก Rombertik ไม่ได้เข้าถึง MBR ได้ ก็จะเริ่มจู่โจมไฟล์ข้อมูลต่างๆ ในโฟลเดอร์ของ Home ของผู้ใช้ โดยการเข้ารหัสคีย์ในลักษณะของ RC4 Random

ซึ่ง เมื่อ MBR หรือ Home folder ถูกเข้ารหัส ระบบจะทำการรีสตาร์ทและจะเข้าสู่ MBR จากนั้นก็จะวนเป็น Loop ต่อเนื่องไม่หยุด ซึ่งจะไม่สามารถหยุดวงจรของปัญหาดังกล่าวได้ และบนหน้าจอจะปรากฏคำว่า “Carbon crack attempt, failed” ครั้งแรกที่มัลแวร์นี้ถูกติดตั้งบนคอมพิวเตอร์ก็จะทำการ Unpack ตัวเอง ซึ่งไฟล์จะถูกออกแบบให้ถูกมองว่าเป็นไฟล์ถูกต้องตามปกติ อันประกอบด้วยไฟล์ภาพ 75 ไฟล์และไฟล์ที่เป็นไฟล์หลอก 8000 ชุด สิ่งที่น่ากังวลคือ Rombertik จะถูกปลุกให้ตื่นอยู่ตลอดเวลาและยังมีการเขียนข้อมูล 1 Byte ลงในเมมโมรีถึง 960 ล้านครั้ง นั่นยิ่งทำให้เกิดความซับซ้อนต่อการวิเคราะห์เครื่องมือในการแก้ไข ซึ่งจะต่างจากมัลแวร์อื่นๆ บางตัว ที่จะฝังตัวและรอคอยเวลา ช่วงนี้ก็คงต้องระมัดระวังมากยิ่งขึ้น โดยเฉพาะกับการติดตั้งและอัพเดตซอฟต์แวร์ป้องกันให้ทันสมัยที่สุด

ขอบคุณข้อมูลจาก : infoworld , notebookspec.com