Zararli dasturiy ta’minotning yangi turi kompyuterni virusga qarshi skanerlash vaqtida aniqlanganda falaj qiladi va uning qurbonlariga halokatli zarba beradi.
Cisco Systems tomonidan Rombertik nomini olgan virus brauzer oynasiga kiritilgan har qanday, hatto eng oddiy matnni ham tutib oladi. Bundan tashqari, Cisco kompaniyasining Talos guruhining shu dushanba kungi blog postiga ko’ra, virus spam va fishing elektron pochta xabarlari orqali tarqaladi.
Rombertik Windows kompyuterida ishga tushirilgandan so’ng osongina bir nechta tekshiruvlarni o’tkazadi va antivirus dasturlari tomonidan aniqlanganligini aniqlashda harakat qilishni davom ettiradi.
Shuni ta’kidlash kerakki, bu xatti-harakat ba’zi zararli dasturlar uchun odatiy emas, ammo Rombertik «o’ziga xos xususiyatdir, agar u zararli dasturlarni tahlil qilishning ma’lum izlarini aniqlasa, kompyuterdagi ma’lumotlarni faol ravishda yo’q qilishga harakat qiladi», Talos guruhidan Ben Beyker va Aleks Chiu virusni tasvirlab bergan.
Shunga o’xshash zararli dastur («Wiper») 2013 yilda Janubiy Koreyada joylashgan ob’ektlarga hujumda va o’tgan yili Sony Pictures Entertainmentga qilingan hujumda ishlatilgan. Har ikki hujum ham AQSh hukumati tomonidan Shimoliy Koreyaga tegishli.
Rombertikning oxirgi tekshiruvi eng xavfli hisoblanadi. U xotiradagi resursning 32-bitli xeshini hisoblab chiqadi va agar bu resurs yoki kompilyatsiya vaqti o’zgartirilgan bo’lsa, Rombertik o’z-o’zini yo’q qilish jarayonini boshlaydi.Birinchi, dastur kompyuter operatsion tizimni yuklash uchun foydalanadigan shaxsiy kompyuter qattiq diskining birinchi sektoridagi Master Boot Record (MBR) ni maqsad qilib qo’yadi. Agar Rombertik MBRga kira olmasa, u foydalanuvchining uy papkasidagi barcha fayllarni yo’q qiladi va har birini tasodifiy RC4 kaliti bilan shifrlaydi.
MBR yoki uy papkasi shifrlangandan so’ng, kompyuter qayta ishga tushadi. MBR cheksiz tsiklga kiradi va kompyuterni ishga tushirishga to’sqinlik qiladi. Ekranda «Karbon yorilishiga urinish, muvaffaqiyatsiz» xabari paydo bo’ladi.
Kompyuterga o’rnatilgandan so’ng, virus o’zini o’zi ochadi. Dekompressiyalangan faylning taxminan 97 foizi haqiqiy kodga o’xshash tarzda yaratilgan. Virus 75 ta tasvir va 8000 ta hiyla-nayranglardan iborat bo’lib, ular hech qachon ishlatilmaydi.
«Ushbu virus antiviruslar har bir xususiyatni ko’rishni imkonsiz qilishga harakat qilmoqda», deb yozadi Talos.
U, shuningdek, qum qutilariga tushmaslikka harakat qiladi yoki tekshiruvi tugaguniga qadar bir muddat karantin amaliyotini o’tkazadi. Ba’zi zararli dasturlar uyg’onish va undan keyin chora ko’rishga umid qilib, bu muddatni kutishga harakat qiladi.
Rombertik faol bo’lib qoladi va bir bayt ma’lumotni xotiraga 960 million marta yozadi, bu antivirus dasturlarini tahlil qilishni qiyinlashtiradi.
«Va agar antivirus hozirda 960 million yozuvni tuzatishga harakat qilsa, jurnal fayli hajmi 100 gigabaytgacha oshishi mumkin», deb yozadi Talos.
