Руткит Win32.Ntldrbot (aka Rustock.C) — реальность!
Rootkit (руткит, от англ. root — "корень" и kit — "набор") — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путем сокрытия файлов, процессов, а также самого факта присутствия. В последнее время одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами. Руткиты становятся все более изощренными, их количество растет с каждым годом. Большинство из них — это чужие идеи, воплощенные не лучшим образом в коде, однако есть и крайне интересные экземпляры. Об одном таком мифическом и неопределяемом до недавнего времени рутките эта статья.
Ботнеты
Ботнет (англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета скрытно устанавливается на компьютере жертвы и позволяет злоумышленнику выполнять некие действия, эксплуатируя ПО и ресурсы зараженного компьютера. Как правило, ботнеты используются для нелегальной деятельности: рассылки спама, перебора паролей, атак на отказ в обслуживании и многого другого.
Компания SecureWorks провела исследование крупных бот-сетей, занимающихся рассылкой спама. Нас же интересует только Rustock, который занимает третье место в этом своеобразном рейтинге. Краткая информация по ботнету выглядит так:
- предполагаемое количество зараженных машин: порядка 150000;
- способность ботнета рассылать спам: порядка 30 млрд. сообщений в день;
- наличие руткит-составляющей.
Взросление Rustock
Название Rustock придумали в Symantec, и оно так понравилось автору вредоносного кода, что в дальнейшем он стал его использовать. Изначально в первых версиях руткита можно было встретить такую строку: "Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb". В последующих кроме строки с использованием "spambot" появилась строка "Rustock rootkit v1.2".
В конце 2005 г. появились первые бета-версии Rustock.A, на которых обкатывались технологии. Отличить их можно по названиям драйверов: i386.sys, sysbus32. Для скрытия себя в системе использовался перехват системной таблицы вызовов (SSDT) и перехват IRP-пакетов.
Далее появилась версия Rustock.A — pe386.sys (версия 1.0), которая отличалась от первых версий техниками скрытия себя в системе. Прежде всего, автор отказался от SSDT и перехватил прерывание 0x2E (Windows 2000) и MSR_ SYSENTER (Windows XP+). Для скрытия файла на диске были использованы ADS (Alternate Data Stream). Эта технология поддерживается в NTFS. Тело руткита находилось в %SystemRoot%\system32:[случайный_набор_ цифр].
В том же 2006 году появилась бета-версия Rustock.B (huy32.sys), а сразу за ней полноценная версия Rustock.B — lzx32.sys (версия 1.2), в которой использовались перехваты INT2E/MSR_SYSENTER, ADS (%Windir%\System32:lzx32.sys). Кроме всего прочего, автор добавил перехват функций сетевых драйверов: tcpip.sys, wanarp.sys и ndis.sys, который позволял ему обходить фаерволы и прятать спам-трафик. Также были выпущены различные варианты вируса.
Rustock.C
Первые слухи о Rustock.C появились летом 2006 года. Тогда же его начали искать как антивирусные лаборатории, так и вирусописатели. Антивирусные лаборатории искали для того, чтобы проанализировать и улучшить свои методы обнаружения руткитов, а вирусописатели — просто для того, чтобы наворовать чужих идей и встроить в свои вредоносные программы защиту и методы сокрытия "попрактичнее".
Шло время, а образец то ли не находился, то ли времени на его анализ у антивирусных лабораторий не хватало, ведь ежедневно приходится иметь дело с тысячами файлов. Многие вендоры предпочли "откреститься" от C-варианта и заняли позицию: "Ну, раз мы его не видим или не нашли, значит, он не существует. Это миф!", или: "Давайте еще вспомним "Rustock.С", который где-то живет, а его никто не видит и видеть не может", что позволило руткиту распространится по компьютерам пользователей. Прошло всего полтора года, и Rustock.C был найден в начале 2008 года. Все это время он работал, рассылал спам.
Компанией "Доктор Веб" было обнаружено порядка 600 экземпляров данного руткита. Дата сборки большинства — сентябрь или октябрь 2007 года. На распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров вирусные аналитики "Доктор Веб" потратили несколько недель.
Предположив, что руткит работает с октября 2007 года совершенно невидимо для антивирусов, можно сделать выводы о громадном количестве паразитного трафика который он разослал. То, что у Rustock.C было столько времени действовать безнаказанно, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей или выполняет другую опасную работу по заданию "автора". В том числе по уничтожению ваших данных.
Tехнические характеристики руткита:
- имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита;
- реализован в виде драйвера уровня ядра, работает на самом низком уровне;
- имеет функцию самозащиты, противодействует модификации во время исполнения;
- активно противодействует отладке: контролирует установку аппаратных точек останова (DR-регистры); нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще;
- перехватывает системные функции неклассическим методом;
- работает как файловый вирус, заражая системные драйверы;
- привязывается к оборудованию зараженного компьютера;
- имеет функцию "перезаражения", срабатывающую по времени. Старый зараженный файл при "перезаражении" излечивается. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один;
- фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного;
- имеет защиту от антируткитов;
- имеет в составе библиотеку, внедряемую в один из системных процессов ОС Windows. Данная библиотека занимается рассылкой спама.
Для связи драйвера с DLL используется специальный механизм передачи команд.
Выводы
Сразу после обнаружения этого руткита вирусописателями следует ожидать всплеск подобных технологий и внедрение их во вредоносные программы. На текущий момент, кроме Dr.Web, ни один современный антивирус не детектирует все семейство Rustock.C, только некоторые его разновидности. Также ни один антивирус, кроме Dr.Web, не лечит зараженные им системные файлы.
Тем, кто не является пользователем антивируса Dr.Web, рекомендуется скачать бесплатную лечащую утилиту Dr.Web CureIt! и произвести проверку компьютера в обязательном порядке.
И помните: "все, что может быть запущено, может быть сломано".
Написано по материалам Русакова В.В., вирусного аналитика компании "Доктор Веб".
Георгий Сальник (главный инженер ООО «БелРусь», официальный партнер ООО «Доктор Веб»)
Весь номер
Новости партнеров:
Что такое IP-телефония и как она работает, какие преимущества даёт
Валидация базы имейлов: как обеспечить доставку писем только реальным подписчикам
Промежуточные реле: особенности и применение в современных технологических системах
Инновации в медицине
как мы переехали
в Мексику
Правозащитники отчитались об ограничениях свободы в Рунете
Феноменальная история эволюции WordPress. Путь самой используемой системы управления контентом
SFP модули - лучшее решение для современных сетей
Кабельная компания ABB вносит вклад в экологию
Специальный новый режим съемки iPhone 15 Pro позволяет записывать видео в 3D
Риски использования одноразовых номеров
Сергей Лобанов ("Спарк"): компанию в 2011 году ждут большие дела!
Cерверы на усовершенствованных процессорах Intel для компаний малого бизнеса
«ТелеКом» уходит в интернет!
Как вернуть исчезнувшие контакты на iPhone после обновления iOS?
Мобильный телефон в отпуске – особенности использования и вероятные поломки
Brosco - модные аксессуары для вашего телефона
EmailMarket – онлайн платформа для поиска лучших специалистов в email маркетинге
Большие возможности при разумной цене смартфона Lenovo A Plus
Квадрокоптеры – история вдохновения
Больше возможностей для email-рассылок за умеренную стоимость с SendPulse
Mestel MO900 – семейная микроволновка
Сколько стоит ремонт ноутбуков и куда стоит обращаться в первую очередь?
Заряд бодрости и оптимизма
Внешние зарядные устройства для мобильных телефонов и девайсов
Аккумуляторы для фотоаппаратов и видеокамер
Как выбрать недорогой китайский смартфон
Возврат обеспечения заявки на участие в тендере
Оптические делители
Восстанавливаем потерянные данные программой EaseUS Data Recovery Wizard
Бронебойный высокопроизводительный смартфон Blackview BV 8000 PRO
Autodesk Vault – компоновка и возможности
Как защитить сайт от вирусов
SSL сертификат – зачем он нужен и какой тип выбрать
Как выбрать проектор для домашнего кинотеатра
Коротко о электрогриле Wollmer S807
Керамика в электротехнике и энергетике
Ремонт планшета Леново
В чем преимущество серверной стойки перед шкафом
Прочный деловой смартфон с неплохими характеристиками и стильным дизайном - Doogee T5S
Запчасти для ноутбуков: плюсы оригинальных комплектующих
Такие разные чехлы и аксессуары от Apple
От яичницы с беконом до шокера. Какими бывают чехлы для смартфона
Причины для замены дисплея на iPad Air 2
Картриджи для ленточной библиотеки – выход для хранения данных
Спидтест интернета с инструкцией устранения проблем представлен на новом ресурсе
Выбираем портативное зарядное устройство
Лучшие смартфоны от производителя Homtom
Выбор мастерских по ремонту гаджетов
Сопровождение 1С: быстрый способ избавиться от проблем
Риски использования одноразовых номеров
Как правильно построить и организовать техническую поддержку ИТ инфраструктуры компании?
Можно ли заправить картридж принтера самостоятельно?
Обмен Perfect Money: возможности собственного обменника и альтернатива порталов мониторинга – что выбрать?
Аренда звука – правильное решение при организации мероприятий
VK70604N: продуманная фильтрация и максимальная практичность
Winter is coming: как выбрать снегоуборочную машину для дома
Особенности выбора сервера 1С
Как ускорить старый ноутбук
Продвигаете сайт? Загляните в соцсети. 5 причин важности маркетинга в социальных сетях
Феноменальная история эволюции WordPress. Путь самой используемой системы управления контентом
ТОПовые игровые ноутбуки
Copyright © 2005-2017
technograd.com
Разработка проекта: Издательский дом RMG
E-mail:
[email protected]
Редактор:
[email protected]
Реклама:
[email protected]
Тел. +7 (863) 272-66-06
о проекте>>