Virus zerstört Festplatte, wenn er entdeckt wird

Fühlt sich "Rombertik" beobachtet, nutzt er eine von zwei Methoden, um die Festplatte des infizierten Systems unbrauchbar zu machen. Er kann den Master Boot Record überschreiben, in dem die Partitionierungstabelle und die Lage des zu startenden Betriebssystems gespeichert sind, oder die Daten des Nutzers verschlüsseln.

Misslingt die Bootschleife, wird verschlüsselt
Gelingt der Angriff auf den sensiblen Master Boot Record der Festplatte, fällt ein infiziertes System in eine Bootschleife – es versucht also immer wieder, zu starten, bricht den Startvorgang wegen der fehlenden Informationen ab und startet erneut.

Misslingt "Rombertik" der Angriff auf den Master Boot Record, zerstört er einem Bericht des britischen IT-Branchendienstes "The Register" zufolge die persönlichen Daten des infizierten Systems, indem er kurzerhand das Home-Verzeichnis der Festplatte verschlüsselt. Als Schlüssel kommt ein zufällig generierter Code zum Einsatz, was das Retten der verschlüsselten Daten so gut wie unmöglich macht.

Code ist voll mit irreführendem Müll
Sicherheitsforschern macht es der neue Schädling aber nicht nur durch seine Selbstverteidigungs-Funktionen ziemlich schwer. Auch sein Code soll durch Tricks verhindern, dass der Schädling auseinandergenommen wird.

Der Trick: Der Quellcode ist voll mit Code-Abfall, der eigentlich gar nichts mit dem Schadprogramm zu tun hat. Konkret befinden sich im Quellcode von "Rombertik" 75 Bilder und 8.000 Funktionen, die nur dazu da sind, Sicherheitsforscher in die Irre zu führen und die Funktionsweise des Trojaners zu verschleiern. Für Experten, die versuchen, den Code zu verstehen, ist das ein Albtraum.

Genutzt wird "Rombertik", um sensible Informationen und Daten aus den Browsern von Windows-Nutzern abzugreifen – etwa Online-Banking-Zugangsdaten, aber auch andere wichtige Informationen. Verteilt wird der Trojaner über Phishing-Mails, in denen ein Bildschirmschoner angepriesen wird.