Irreführende Berichterstattung: Trojaner Rombertik kann keine PCs zerstören

Funktionsdiagramm von Rombertik mit brennender Festplatte (Bild: Cisco Talos)

Deutsche und vor allem britische Medien haben eine Analyse von Ciscos Abteilung Talos zu einem neuen Trojaner namens Rombertik aufgebauscht. In der Daily Mail wird das Schadprogramm als „Selbstmordattentäter“ beschrieben, der einen befallenen „Computer zerstören“ könne. Hierzulande heißt es immerhin, Rombertik zerstöre die Festplatte, wenn der Anwender einen Virenscan durchführe, oder mache „den Computer unbrauchbar„.

Funktionsdiagramm von Rombertik mit brennender Festplatte (Bild: Cisco Talos)

In Wirklichkeit ist es die aktuelle Betriebssystem-Installation, die unbrauchbar gemacht wird. Wie Ciscos Sicherheitsabteilung schreibt, verfügt Rombertik über Abwehrtechniken, die eine Erkennung verhindern sollen. Unter anderem kann er den Master Boot Record einer Festplatte überschreiben und einen Neustart erzwingen, der dann von dieser Platte nicht mehr möglich ist. Auch gehört zu seinen Taktiken der Versuch, Dateien zu verschlüsseln.

Der unabhängige Sicherheitsforscher Graham Cluley kommentiert dazu, von einem Selbstmordattentäter könne man wohl kaum sprechen. Es würden schlicht Daten gelöscht. Allerdings habe Cisco die falsche Berichterstattung begünstigt, da es von einem „aktiven Versuch, den Computer zu zerstören“, berichtete. Die beigefügte Grafik mit brennender Festplatte sei wohl auch nicht dienlich gewesen.

Dabei lässt sich ein Befall mit Rombertik einfacher als jedes Selbstmordattentat verhindern. Der Virus wird als angeblich von Microsoft stammender Dateianhang versandt. Wer solchen Anhängen grundsätzlich misstraut und einen aktuellen Virenscanner installiert hat, muss sich vor der Schadsoftware nicht fürchten. Unvorsichtigen Anwendern droht ein Datenverlust, in dessen Zug immerhin der Virus selbst ebenfalls gelöscht wird.

Rombertik kommt als falsche Microsoft-Mail (Bild: Cisco Talos)

Das Schadprogramm dient dem Diebstahl von Nutzerdaten, die Rombertik in verschlüsselter Form unter anderem an die Domain www.centozos.org.in sendet. Bemerkenswert ist es wegen seiner aufwändigen Verschleierungsmechanismen. Die Malware ist nämlich eigentlich nur 28 KByte groß, kommt aber in einem 1264-KByte-Paket. Mehr als 97 Prozent sind nicht genutztes Tarnmaterial – darunter 75 Bilder und 8000 nie aufgerufene Programmfunktionen.

Um intelligente Erkennungssysteme für Sandbox-Umgebungen zu täuschen, schreibt Rombertik insgesamt 960 Millionen Mal ein einzelnes Byte in den Speicher, bevor er versucht, aus der Sandbox auszubrechen. Würde er in der vergehenden Zeit vollständig inaktiv bleiben, wie dies bisher oft praktiziert wird, würde gerade das Verdacht erregen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.