Computer-Virus Rombertik lehrt uns das Fürchten

07 Mai, 2015 von Sebastian Wysocki

Schriftgröße -16+

Der neue Computer-Virus Rombertik hat es echt faustdick hinter den Ohren: falls dieser Virus nämlich bemerkt, dass man ihm beispielsweise mit einer Analysesoftware zu nahe kommen möchte, löscht er kurzerhand den Bootsektor eures Systems und sorgt damit für komplette Zerstörung eures geliebten Computers.

Auf den ersten Blick sieht der Windows-Schädling Rombertik aus, wie die Viren, welche wir alle schon kennen. Er versucht per Phishing-Methode  auf euer Betriebssystem zu kommen und spioniert euch dann aus. Der Virus wird per E-Mail versendet und spioniert eure gesamte Internetaktivität wie beispielsweise das Online Banking aus. Interessant wird es allerdings erst, wenn Rombertik merkt das ihr ihm an den Kragen gehen wollt. Wird der Virus entdeckt, löscht er den Master Boot Record (MBR) und startet das System neu. Nun hängt euer Computer in der sogenannten Bootschleife und ist unbrauchbar. Zusätzlich verschlüsselt Rombertik die Daten mit einem zufälligen RC4-Schlüssel und macht sie so unzugänglich.

Rombertiks Analyseallergie

Mehr als 97 % des Schädlings bestehen aus überflüssigen Daten und einem wahllosem Code, der zwischen nutzlosen Funktionen hin und her springt. Damit soll die Analyse erschwert werden. Sobald Rombertik analysiert und aufgespürt wird, beginnt der Selbstzerstörungsprozess. Der Virus schreibt dann rund 950 Millionen mal sinnlose und nutzlose Daten in den Speicher, ein sogenanntes Tracing-Tool kann dann einfach mal mehrere Gigabyte an Daten produzieren. Das ist noch nicht alles, denn hinzukommt, dass wie bereits der MBR zerstört wird und ein Neustart erzwungen wird. Die Forscher von Ciscos Malware-Analyseeinheit Talos, die Rombertik entdeckt haben, hatten zwar schon vorher ähnliche Viren beobachtet, jedoch sei der Selbstzerstörungsprozess und die damit verbundene Zerstörung des Computers neu.

Wie kann man sich schützen?

Rombertik verbreitet sich wie viele andere Viren über Phishing-Mails. Getarnt wird der Computer-Virus als eine normale PDF-Datei. Dahinter verbirgt sich jedoch ein Bildschirmschoner. Wird diese sogenannte Datei mit der Endung .SCR angeklickt, startet sich der Schadcode automatisch. Aktuell sollen Virenschoner helfen, zumindest bis der Virus wieder von den ursprünglichen Entwicklern modifiziert wird. Da die Schadsoftware auch das Recoveryimage beschädigt ist ein Wiederherstellen des Betriebssystems nicht unmöglich, aber schwerer als sonst. Allerdings muss man beachten, dass bei diesem Wiederherstellungsprozess alle Daten verloren gehen, sofern diese nach der Virusattacke überhaupt noch zu retten gewesen wären.

Hier noch ein paar Tipps:

• Vorsicht bei fremden Mails! Öffnet keine Links und Anhänge von Absendern, die ihr nicht kennt oder euch verdächtig vorkommen. Aktuell befindet sich Rombertik in E-Mails, welche angeblich von Microsoft kommen.

• Stellt sicher, dass ihr für euer Betriebssystem immer die aktuellen Sicherheits-Updates installiert habt

• Achtet stets darauf, immer einen Virenscanner installiert zu haben. Kostenlose reichen meist aus, dennoch sind kostenpflichtige empfehlenswert. Vor allem dann, wenn geschäftliche Arbeit oder Online Banking auf dem Computer betrieben wird.

Seid ihr auch infiziert? Der Test

Öffnet euren Taskmanager. Dort geht ihr auf den Punkt Prozesse und sucht nach dem Prozess „yfoye.exe“.Werdet ihr fündig, dann seit ihr von Rombertik betroffen.

Quelle Titelbild: Shutterstock

Sebastian Wysocki

Ich heiße Sebastian Wysocki, auch Seppel genannt, und komme aus Berlin. Ich arbeite als Veranstaltungstechniker und interessiere mich für die neusten Technikhighlights. Ich kam zu TechnikSurfer, weil ich den Blog schon seit längeren verfolgt habe und dann endlich die Chance genutzt habe, mich als Autor zu bewerben.

Alle Artikel von Sebastian Wysocki