시스코의 연구원들이 발견한 멀웨어로 분석 툴이 롬버틱을 탐지하였을 때 자신을 파괴함과 동시에 장비의 마스터 부트 레코드 (MBR)를 파괴하는 악성코드입니다.

*MBR (Master Boot Record)

  : 하드디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역으로 컴퓨터에 전원이 들어가면 가장 먼저 읽히게 되는 영역

제일 먼저 자기 자신이  샌드박스 안에서 실행되고 있는지를 확인하기 위해 분석 툴을 체크하며 만약 자신이 실행되고 있지 않다면 자기 자신을 복호화 한 후 설치를 진행합니다.

설치를 진행한 후 자신의 두 번째 카피본을 생성, 멀웨어의 코어 기능으로 이를 덮어쓰기 합니다.

이후 메모리에서 분석되고 있지 않은지 한 번 더 체크하며 만약 분석되고 있다면 롬버틱은 마스터 부트 레코드 (MBR)를 파괴하며 컴퓨터를 무한 재부팅시켜 사용할 수 없도록 만듭니다.

롬버틱은 분석을 복잡하게 만들기 위해 9억 번 이상 랜덤 데이터를 사용하며 이를 문서화할 경우 100기가 공간이 필요할 것 입니다.

*샌드박스(Sendbox)

외부에서 들어온 프로그램이 보호된 영역에서 동작해 시스템이 악성으로 조작되는 것을 막는 보안 형태

롬버틱 멀웨어는 현재 스팸과 피싱 메시지를 통해 확산되고 있습니다.

한 샘플을 통해 확인한 결과 공격자들은 사용자가 이메일에 첨부된 문서를 다운로드하도록 유도하며 파일을 다운로드하고 압축이 해제되면 문서 썸네일과 같은 파일을 생성하게 됩니다.

이는 PDF 아이콘을 가장하고 있지만 사실은 멀웨어를 포함하고 있는 .SCR (화면보호기 확장자) 실행 파일입니다.

.SCR 파일이 실행되면 패키징 되어 있던 악성코드 프로세스 .EXE파일이 열려 악성코드에 감염되고 롬버틱을 사용자의 브라우저 프로세스에 삽입하여 순수 텍스트 데이터를 처리하는 API 기능을 후킹 합니다.

공격자는 이러한 프로세스를 통해 사용자가 방문하는 대부분의 웹 사이트 계정과 패스워드를 볼 수 있게 됩니다.

· 제어판 ▷ 모양 및 개인 설정 ▷ 폴더 옵션 ▷ 보기탭 ▷ '확장자명 숨기기' 해제하여 자신이 받은 문서와 확장자를 확인 후 실행합니다.