Derzeit macht ein besonderes unangenehmer Computer-Virus die Runde: Rombertik. "Glaubt" dieser, dass er analysiert wird, so löscht er den Master Boot Record des PCs, startet diesen neu und versetzt das System damit in eine Endlos-Boot-Schleife.

Der Virus Rombertik ist ein besonders hinterhältiger Vertreter seiner Gattung. Er ist in der Lage, den PC in eine Endlos-Boot-Schleife zu versetzen.

Ein fieser kleiner Virus

Rombertik wird über Phising-Mails vertrieben. Wer sich den Virus einfängt, der hat gleich zwei Probleme. Einmal spioniert die Schadsoftware den PC aus, andererseits ist er in der Lage, zu erkennen, ob er analyisert wird. "Vermutet" der Virus, dass dies geschieht, so löscht er den Master Boot Record (MBR) des PCs. Anschließend startet der Virus das System neu. Dies führt dazu, dass der PC in einer Endlos-Boot-Schleife gefangen ist. Zwar booetet der PC nicht ständig automatisch neu, bootet man aber manuell neu, bleibt der PC immer wieder an derselben Stelle hängen.

Wer E-Mails mit einer unbekannten PDF-Datei im Anhang erhält, sollte diese unverzüglich löschen, denn Rombertik tarnt sich als PDF-File. Öffnet man diese, startet allerdings ein Bildschirmschoner und damit auch der Virus. Passiert es, dass dieser den Master Boot Record eines PCs löscht, so gibt es eine - wenn auch nicht ganz einfache - Methode, wieder an seine Daten zu kommen. Dies ist deswegen nicht einfach, da alle Daten im MBR vom Virus mit Nullen überschrieben wurden.

Virenforscher haben natürlich nun das Problem, dass sie Rombertik nicht genau analysieren können. Hinzu kommt, dass der Virus zu 97 Prozent aus nutzlosem Datenwirrwarr besteht. Wird Rombertik analyisert, so schreibt der Virus außerdem nutzlose Daten 960 Millionen mal in den Speicher, was dazu führt, dass entsprechende Tools mehrere Gigabyte an Daten produzieren. Daneben wird auch immer wieder eine Windows-Debug-Funktion aufgerufen, was eine Analyse der Schadsoftware mit Hilfe von Debug-APIs erschwert.

Rombertik sollte allerdings von herkömmlichen Anti-Viren-Programmen entdeckt und entfernt werden können. Entwickler dieser Software sind sich aber sicher, dass der Virus bald in abgewandelter Form auftauchen wird. Einen Virus, der bei Analyse den Master Boot Record unbrauchbar macht, habe man noch nicht erlebt, erklären die Entwickler von Anti-Viren-Software. /ab

Haben Sie Fragen oder brauchen Sie Hilfe? Sie können mich als Ihren Partner für Computerreparaturen und PC Wartung im Kreis Altenkirchen und dem Westerwald jederzeit kontaktieren (über das Kontaktformular auf dieser Seite) oder auch telefonisch (Impressum).

Ihr EDV/IT-Service Sascha Schmidt

Quelle: http://www.gulli.com

zuück...

TOP