Diferencia entre revisiones de «Rombertik»

Rombertik
Información general
Tipo de programa	virus informático
	[editar datos en Wikidata]

Explorar historial interactivamente

← Ir a diferencia anterior Ir a siguiente diferencia →

Contenido eliminado Contenido añadido

VisualWikitexto

En renglón

Revisión del 15:31 16 jul 2022

Rombertik es un software espía diseñado para robar información confidencial de objetivos que utilizan Internet Explorer, Firefox o Chrome que se ejecutan en ordenadores con Windows.^[1] Fue publicado por primera vez por investigadores del Grupo de Inteligencia y Seguridad de Cisco.^[2]

Operación

Rombertik emplea varias técnicas para dificultar el análisis o la ingeniería inversa. Más del 97% del archivo es código o datos innecesarios destinados a abrumar a los analistas. Recorre el código cientos de millones de veces para retrasar la ejecución y comprueba los nombres de archivo y los nombres de usuario utilizados por Malware Análisis Sandboxes.

Si Rombertik detecta una modificación en el tiempo de compilación o en el recurso binario en la memoria, intenta sobrescribir el Registro de arranque principal (MBR) en el disco duro principal.^[3] El MBR contiene el código necesario para iniciar el sistema operativo, así como información sobre dónde se almacenan las particiones en el disco duro. Aunque los datos del usuario permanecen en el disco duro, el sistema operativo no puede acceder a ellos sin el MBR. En algunos casos, es posible recuperar datos de un disco duro con un MBR modificado.^[4]

Si el malware no tiene los permisos necesarios para sobrescribir el MBR, cifra cada archivo en el directorio de inicio de la víctima. Esta técnica de cifrado de directorios es similar al ransomware, pero Rombertik no intenta extorsionar a sus víctimas. Los archivos cifrados con una clave segura pueden ser casi imposibles de recuperar.^[5]

Promocionado a través de correos electrónicos no deseados y de phishing, una vez que Rombertik está instalado, inyecta código en los procesos en ejecución de Internet Explorer, Firefox y Chrome.^[6] El código inyectado intercepta los datos web antes de que el navegador los cifre y los reenvía a un servidor remoto.^[1]

Referencias

↑ ^a ^b «Threat Spotlight: Rombertik». Cisco Blogs. 4 de mayo de 2015.
↑ «Rombertik, el virus que se autodestruye y acaba con el PC». abc. 7 de mayo de 2015. Consultado el 25 de noviembre de 2020.
↑ «Self-destructing virus kills off PCs». BBC News. 5 de mayo de 2015.
↑ «Partition Recovery Concepts». Active Data Recovery Software. Consultado el 8 de mayo de 2015.
↑ Lemos, Robert (June 13, 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus.
↑ «How to Remove Rombertik Malware». Wenzler Neo. Consultado el 11 de mayo de 2015. >

[Cisco_Blog-1] «Threat Spotlight: Rombertik». Cisco Blogs. 4 de mayo de 2015.

[2] «Rombertik, el virus que se autodestruye y acaba con el PC». abc. 7 de mayo de 2015. Consultado el 25 de noviembre de 2020.

[BBC_News-3] «Self-destructing virus kills off PCs». BBC News. 5 de mayo de 2015.

[NTFS-4] «Partition Recovery Concepts». Active Data Recovery Software. Consultado el 8 de mayo de 2015.

[SecurityFocus-5] Lemos, Robert (June 13, 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus.

[Rombertik_Malware-6] «How to Remove Rombertik Malware». Wenzler Neo. Consultado el 11 de mayo de 2015. >

[1]

[2]

[3]

[4]

[5]

[6]

@@ Línea 3: / Línea 3: @@
 == Operación ==
-Rombertik emplea varias técnicas para dificultar el análisis o la ingeniería inversa. Más del 97% del archivo es código o datos innecesarios destinados a abrumar a los analistas. Recorre el código cientos de millones de veces para retrasar la ejecución y comprueba los nombres de archivo y los nombres de usuario utilizados por [[Aislamiento de procesos|Malware Análisis Sandboxes]].
+Rombertik emplea varias técnicas para dificultar el análisis o la [[ingeniería inversa]]. Más del 97% del archivo es código o datos innecesarios destinados a abrumar a los analistas. Recorre el código cientos de millones de veces para retrasar la ejecución y comprueba los nombres de archivo y los nombres de usuario utilizados por [[Aislamiento de procesos|Malware Análisis Sandboxes]].
-Si Rombertik detecta una modificación en el tiempo de compilación o en el recurso binario en la memoria, intenta sobrescribir el [[Registro de arranque principal]] (MBR) en el disco duro principal.<ref name="BBC News">{{Cita web|url=https://www.bbc.co.uk/news/technology-32591265|título=Self-destructing virus kills off PCs|fecha=May 5, 2015|editorial=BBC News}}</ref> El [[Registro de arranque principal|MBR]] contiene el código necesario para iniciar el sistema operativo, así como información sobre dónde se almacenan las particiones en el disco duro. Aunque los datos del usuario permanecen en el disco duro, el sistema operativo no puede acceder a ellos sin el [[Registro de arranque principal|MBR]]. En algunos casos, es posible recuperar datos de un disco duro con un [[Registro de arranque principal|MBR]] modificado.<ref name="NTFS">{{Cita web|url=http://ntfs.com/partition-deleted.htm|título=Partition Recovery Concepts|fechaacceso=May 8, 2015|editorial=Active Data Recovery Software}}</ref>
+Si Rombertik detecta una modificación en el [[tiempo de compilación]] o en el recurso binario en la memoria, intenta sobrescribir el [[Registro de arranque principal]] (MBR) en el disco duro principal.<ref name="BBC News">{{Cita web|url=https://www.bbc.co.uk/news/technology-32591265|título=Self-destructing virus kills off PCs|fecha=May 5, 2015|editorial=BBC News}}</ref> El [[Registro de arranque principal|MBR]] contiene el código necesario para iniciar el [[sistema operativo]], así como información sobre dónde se almacenan las particiones en el disco duro. Aunque los datos del usuario permanecen en el disco duro, el sistema operativo no puede acceder a ellos sin el [[Registro de arranque principal|MBR]]. En algunos casos, es posible recuperar datos de un disco duro con un [[Registro de arranque principal|MBR]] modificado.<ref name="NTFS">{{Cita web|url=http://ntfs.com/partition-deleted.htm|título=Partition Recovery Concepts|fechaacceso=May 8, 2015|editorial=Active Data Recovery Software}}</ref>
-Si el malware no tiene los permisos necesarios para sobrescribir el [[Registro de arranque principal|MBR]], cifra cada archivo en el directorio de inicio de la víctima. Esta técnica de cifrado de directorios es similar al [[ransomware]], pero Rombertik no intenta extorsionar a sus víctimas. Los archivos cifrados con una clave segura pueden ser casi imposibles de recuperar.<ref name="SecurityFocus">{{Cita web|url=http://www.securityfocus.com/news/11523|título=Ransomware resisting crypto cracking efforts|autor=Lemos|nombre=Robert|fecha=June 13, 2008|editorial=SecurityFocus}}</ref>
+Si el [[malware]] no tiene los permisos necesarios para sobrescribir el [[Registro de arranque principal|MBR]], cifra cada archivo en el directorio de inicio de la víctima. Esta técnica de cifrado de directorios es similar al [[ransomware]], pero Rombertik no intenta extorsionar a sus víctimas. Los archivos cifrados con una clave segura pueden ser casi imposibles de recuperar.<ref name="SecurityFocus">{{Cita web|url=http://www.securityfocus.com/news/11523|título=Ransomware resisting crypto cracking efforts|autor=Lemos|nombre=Robert|fecha=June 13, 2008|editorial=SecurityFocus}}</ref>
 Promocionado a través de correos electrónicos no deseados y de [[phishing]], una vez que Rombertik está instalado, inyecta código en los procesos en ejecución de [[Internet Explorer]], [[Mozilla Firefox|Firefox]] y [[Chrome]].<ref name="Rombertik Malware">{{Cita web|url=http://howdoiremoveit.com/malware/rombertik-removal/|título=How to Remove Rombertik Malware|fechaacceso=May 11, 2015|editorial=Wenzler Neo}}></ref> El código inyectado intercepta los datos web antes de que el navegador los cifre y los reenvía a un servidor remoto.<ref name="Cisco Blog">{{Cita web|url=http://blogs.cisco.com/security/talos/rombertik|título=Threat Spotlight: Rombertik|fecha=May 4, 2015|editorial=Cisco Blogs}}</ref>