យល់ដឹងពីផលប៉ះពាល់របស់ Rombertik
ក្នុងប៉ុន្មានថ្ងៃថ្មីៗនេះ malware ថ្មីមួយត្រូវបានរកឃើញ និងប្រកាសឲ្យមានការប្រុងប្រយ័ត្នខ្ពស់ ដោយហេតុថា malware នេះអាចធ្វើឲ្យខូច Hard-disk តែម្តង។ នៅពេលដែល malware ឆ្លងចូលទៅក្នុងម៉ាស៊ីនរបស់លោកអ្នក ហើយមានកម្មវិធីកម្ចាត់មេរោគណាអាចចាប់ (detect) បាននោះ វានឹងធ្វើការលុបចោលនូវ Master Boot Record (MBR) របស់ deviceក៏ដូចជា home directories ដែលធ្វើឲ្យម៉ាស៊ីនធ្វើការ restart ចុះឡើងៗឥតឈប់ឈរ។
Malware ថ្មីនេះ មានឈ្មោះថា Rombertik Malware ដែល unpacked version មានទំហំត្រឹងតែ ២៨KB ប៉ុណ្ណោះ ខណៈដែល packed version មានទំហំដល់ទៅ ១២៦៤KB ដែលក្នុងនោះរួមមានរូបភាពចំនួន ៧៥ និងមាន function ៨,000 ផ្សេងទៀតដែលមិនត្រូវការប្រើប្រាស់សោះ គឺគ្រាន់តែទុកសម្រាប់ការពារខ្លួនពីការ detect code របស់វា តែប៉ុណ្ណោះ។ Rombertik តែងតែលាក់ខ្លួនក្នុងកញ្ចប់សុវត្ថិភាព (sandbox) ផ្ទាល់ខ្លូន ដោយធ្វើការសរសេរនូវទិន្នន័យដែលមាន byte ចម្រុះ ពាសវាលកាលដល់ទៅ ៩៦០ លានដងឯនោះ ចូលក្នុង memory ដើម្បីគេចខ្លួនពីកម្មវិធីកម្ចាត់មេរោគ ឬការធ្វើ reverse code របស់វា ផ្សេងៗជាដើម ។
គន្លឹះនៃការឆ្លង malware នេះ
បើតាមអ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាប របស់ Cisco លោក Ben Baker និង Alex Chiu បាននិយាយថា malware នេះ ច្រើនតែជារបស់បំភ័ន្តភ្នែក ដែលមានភ្ជាប់មកតាមរយៈ email បោកបញ្ឆោត។ នៅពេលដែលជនរងគ្រោះចុចនៅលើ attachments នោះ វានឹងដំណើរការដោយប្រុងប្រយ័ត្នបំផុត គឺការពារខ្លួនពីការ analysis របស់កម្មវិធីកម្ចាត់មេរោគ ហើយពិនិត្យបន្តទៀតថាតើ វាកំពុងតែត្រូវបានដំណើរការនៅក្នុង sandbox របស់កម្មវិធីកម្ចាត់ ឬយ៉ាងណា។
ប្រសិនបើវាមិនស្ថិតនៅក្នុង sandbox ទេនោះ នោះ Rombertik នឹងធ្វើការ decrypt ហើយដំឡើង (install) ខ្លួនឯងទៅក្នុងម៉ាស៊ីនរបស់ជនរងគ្រោះ។ បន្ទាប់មក មុនពេលនឹងធ្វើការលួចឃ្លាំមើល (spy) Rombertik នេះនឹងដំណើរការការត្រួតពិនិត្យចុងក្រោយមួយទៀត ដើម្បីប្រាកដថា វាមិនត្រូវបានកម្មវិធីកម្ចាត់មេរោគ analyze នៅក្នុង memory។ ក្នុងករណីដែលវាដឹងថា មានកម្មវិធីណាកំពុងតែធ្វើការ analyze វានោះ វានឹងធ្វើការបំផ្លាញចោលនូវ master boot record (MBR) ចោលតែម្តង។
ជំហានបន្ទាប់ Rombertik នឹងធ្វើការ restart ម៉ាស៊ីន ហើយម៉ាស៊ីននោះក៏នឹងធ្វើការ restart ចុះឡើងៗ មិនចេះចប់ មិនចេះហើយ ព្រោះថា MBR របស់ hard drive ត្រូវបានបាត់បង់ទៅហើយនោះ។ MBR គឺជា sector ដំបូងរបស់ hard driveដែល system នឹងត្រូវការ មុនពេលដំណើរការ load នូវ operating system។
ទឹកចុងក្រោយ Rombertik នឹងធ្វើការបំផ្លាញខ្លួនឯង (self-destruct) ដោយពាំនាំជាមួយនូវទិន្នន័យនៅក្នុង hard drive របស់ជនរងគ្រោះទៅជាមួយផងដែរ។
ទឹកចុងក្រោយ Rombertik នឹងធ្វើការបំផ្លាញខ្លួនឯង (self-destruct) ដោយពាំនាំជាមួយនូវទិន្នន័យនៅក្នុង hard drive របស់ជនរងគ្រោះទៅជាមួយផងដែរ។
Comments
Post a Comment