Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Rombertik, le spyware qui pratique la terre brûlée s'il est détecté

Un malware particulièrement soupe au lait
Logiciel 5 min
Rombertik, le spyware qui pratique la terre brûlée s'il est détecté
Crédits : Wavebreakmedia Ltd/iStock/ThinkStock

Rombertik est le nom d’un malware dont les caractéristiques sont étonnantes à plus d’un titre. Il a pour objectif de voler des informations, ce qui est assez classique, mais son comportement anti-détection est radical : il provoque un maximum de dégâts, avant de lancer la machine dans un cycle sans fin de redémarrages.

Un voleur véhiculé par une campagne de fishing classique

Les malwares ont leurs grandes phases. Il y a 20 ans, beaucoup de virus avaient surtout pour objectif d’empoisonner la vie des utilisateurs en détruisant leurs données. Avec l’explosion d’Internet, de nombreux pirates ont découvert qu’il y avait bien mieux à faire : voler des informations et les transmettre. Aussi, plus un malware pouvait rester caché sur une machine, plus longtemps il pouvait accomplir sa mission d’espionnage.

Rombertik fait partie des voleurs d’informations. Il n’est d’ailleurs pas particulièrement subtil. D’après l’équipe de sécurité Talos de Cisco, il tente de récupérer à peu près tout ce qui lui passe entre les mains, dans l’espoir d’obtenir des données un peu plus croustillantes, notamment des identifiants et des mots de passe.

Il infecte une machine le plus souvent en étant ouvert depuis un email. Ce dernier présente un texte qui ne pourrait tromper le moindre utilisateur un tant soit peu averti : le destinataire est invité à vérifier les spécifications par une entreprise qui se présente comme étant la Windows Corporation. Tout un programme. Si l’utilisateur ouvre le document, il se décompresse et se présente alors comme un document PDF, avec une miniature suggérant un listing. Ce qu’il n’est pas.

Un malware capable de s'échapper d'une sandbox

Il s’agit en fait d’un fichier .SCR, le format utilisé par Windows pour les écrans de veille. Le code de Rombertik y est contenu, mais Cisco ne dit pas si une ou plusieurs failles sont exploitées, ce qui est probablement le cas. À partir de la première exécution, une longue série d’étapes commence. Le malware réalise ainsi une première série de contrôles pour déterminer s’il est exécuté dans une sandbox ou pas. Si c’est le cas, il dispose de plusieurs mécanismes singuliers pour s’en échapper.

Une sandbox est toujours en place pour des raisons de sécurité et peut être accompagnée d’outils permettant d’analyser le comportement de ce qui s’y ébroue. Plutôt que de dormir et d’attendre son heure, Rombertik va écrire 960 millions de fois un simple octet en mémoire pour passer le temps, ce que certaines sandbox ne vont pas détecter comme suspect, tout en surchargeant les outils d’analyse. Selon Cisco, créer un log d’une telle activité produirait un fichier de plus de 100 Go. Si la sandbox tient le coup, Rombertik s’arrête alors de fonctionner. Si l'attaque fonctionne, le malware complètera alors avec d’autres mécanismes pour s’échapper de la zone mémoire isolée.

Rombertick

97 % de code inutile

Une fois à l’air libre, Rombertik crée un script pour être certain de s’exécuter au démarrage. Il se dédouble ensuite et se cache dans le dossier AppData. C’est la copie qui va faire l’essentiel du travail, et elle dévoile des caractéristiques étranges. Sous sa forme compactée, elle pèse en effet 1 264 Ko, alors que sous forme décompressée, le poids passe à… 28 Ko. En fait, 97 % du code de Rombertik ne sert strictement à rien : il contient 75 images inutiles et environ 8 000 fonctions qui ne sont jamais appelées. Cisco précise qu’il s’agit bien sûr d’une volonté, car une telle quantité de fonctions rend le travail d’examen beaucoup plus difficile.

À partir de là, le malware est actif et remplit donc sa mission d’espionnage. Mais ce qui rend Rombertik particulièrement « efficace », c’est le nombre de mécanismes mis en place pour se dérober aux outils d’analyse ou pour disparaître s’il est détecté. Et dans ce cas, l’utilisateur perdra sans doute de nombreuses données, Rombertik pratiquant la politique de la terre brûlée.

Détecté, Rombertik veut tout casser

Dans les premiers temps de son fonctionnement, le malware va lancer une dernière série de vérifications. S’il se « rend compte » qu’il est activement analysé, de manière manuelle ou automatique, il déclenche les hostilités. Il tente en premier de réécrire le MBR (Master Boot Record) sur le premier disque dur référencé par la machine (PhysicalDisk0). S’il en a la permission, l’opération réussit et la machine ne peut plus démarrer : le MBR est lu avant que le système d’exploitation n’entre en piste, et il faut alors des outils spécifiques pour le reconstruire. S’il n’a pas les droits suffisants, Rombertik sort l’artillerie lourde. Il va chercher les fichiers contenus dans les dossiers Documents et Settings\Administrator pour les chiffrer un par un avec une clé RC4 générée aléatoirement pour chacun. Quand le MBR a été réécrit ou que les fichiers ont été chiffrés, l’ordinateur est redémarré.

Rombertick

Les deux cas sont problématiques, même si techniquement la récupération des informations reste possible. Si le MBR a été réécrit, Rombertik en aura profité pour changer toutes les informations relatives aux partitions et ajouter un code qui provoque le redémarrage de la machine. En clair, l’ordinateur va redémarrer en boucle, jusqu’à ce que le disque soit extrait pour tenter de récupérer les données, ou que le système d’exploitation soit réinstallé.

La meilleure défense contre le malware est évidemment un antivirus qui supprimera la partie exécutable avant même qu’elle n’entre en piste. Et on ne le répètera de toute façon jamais assez : n’ouvrez jamais une pièce jointe qui vous paraît suspecte, soit parce qu’elle vient d’un contact qui ne vous enverrait pas ce genre de données, soit parce qu’elle émane d’un illustre inconnu.

105 commentaires
Avatar de cyrano2 Abonné
Avatar de cyrano2cyrano2- 07/05/15 à 14:45:49

En 2015, on est pas encore capable de détecter un exe dans un fichier joint ?

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 07/05/15 à 14:46:31

la désinfection offline depuis un autre PC ou un Live-CD/USB, ça reste le meilleur moyen d'éviter ce genre de comportement du virus.

Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 07/05/15 à 14:47:40

cyrano2 a écrit :

En 2015, on est pas encore capable de détecter un exe dans un fichier joint ?

C'est écrit dans la news.
faux PDF, "vrai" scr

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 07/05/15 à 14:50:18

Il s'est lever du mauvais pied le créateur du malware.:ooo::eeek2:

Édité par Ami-Kuns le 07/05/2015 à 14:50
Avatar de ludo0851 INpactien
Avatar de ludo0851ludo0851- 07/05/15 à 14:54:52

Vous me faites peur avec "Détecté, Rombertik veut tout casser"!
Du coup, si d'aventure je le choppe, je le laisse sur mon PC :mad2:

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 07/05/15 à 14:55:43

"Documents et Settings\Administrator"

... Grrrrrrrrrrr, rien que de voir ça ca me donne des envies de frapper >_

Avatar de Djaron INpactien
Avatar de DjaronDjaron- 07/05/15 à 14:55:51

au moins on a enfin là un specimen d'une espece que je pensais eteinte, au profit des malwares et crapwares bas du front qui prolifèrent depuis ces dernières années... à savoir l'espece des VRAIS virus informatiques.

Je veux dire par là ceux qui:

  1. essayent vraiment de cacher leur présence

  2. se dupliquent pour se protéger et se propager

  3. qui font de réels dégats aux fichiers persos mais (ou plutot surtout) au systeme (ici MBR)

    normalement la plupart des logiciels "pénibles" sont installés par négligence, flemme, ignorance crasse de l'utilisateur, ne se cachent pas (ils tronent bien sagement dans des emplacements systeme faciles à trouver, sous des noms louches ou imitant des applis legits, ont leur commande de démarrage en clair dans une clef de la base de registre... bref rien de sérieux)

    c'est pas forcément une bonne nouvelle mais ça permet enfin de comparer et prendre la vraie mesure de ce qu'est un virus au sens historique du terme, et le mettre en comparaison avec les merdes habituelles relativement innoffensives et faciles à virer. Ca evitera l'abus de langage de toujours TOUT appeler "virus" (et surtout "n'importe quoi")
     

Avatar de ayaredone INpactien
Avatar de ayaredoneayaredone- 07/05/15 à 15:00:19

Au moins NXI n'abuse pas sur le titre comme "certains" sites ^^

Avatar de MrMichu INpactien
Avatar de MrMichuMrMichu- 07/05/15 à 15:02:56

Une question le fait d'être en permanence en session utilisateur sans droit d'administrateur, réduit-il ou mieux évite-t-il le risque ?

Avatar de Konrad INpactien
Avatar de KonradKonrad- 07/05/15 à 15:08:20

Djaron a écrit :

normalement la plupart des logiciels "pénibles" sont installés par négligence, flemme, ignorance crasse de l'utilisateur

Ça a l'air d'être le cas ici aussi :

Il infecte une machine le plus souvent en étant ouvert depuis un email. Ce dernier présente un texte qui ne pourrait tromper le moindre utilisateur un tant soit peu averti : le destinataire est invité à vérifier les spécifications par une entreprise qui se présente comme étant la Windows Corporation. Tout un programme. Si l’utilisateur ouvre le document, il se décompresse et se présente alors comme un document PDF, avec une miniature suggérant un listing. Ce qu’il n’est pas.
(...)
Il s’agit en fait d’un fichier .SCR, le format utilisé par Windows pour les écrans de veille.

Entre le « Windows Corporation », le faux fichier PDF, et l'ouverture d'une pièce jointe d'un email d'origine inconnue... ça fait plusieurs panneaux un peu grossiers dans lesquels l'utilisateur averti ne tombera pas.

Le plus grand ennemi de l'ordinateur c'est l'utilisateur non averti. Il n'y connaît rien, clique partout, et ouvre toutes les pièces jointes venant de n'importe qui.

Il n'est plus possible de commenter cette actualité.
Page 1 / 11