ANTICHAT — форум по информационной безопасности, OSINT и технологиям

7/05/2008 10:09

Компания "Доктор Веб" выпустила новую версию сканера Dr.Web, способную, по утверждениям разработчика, не только обнаруживать руткит Win32.Ntldrbot (он же - Rustock.C), но и лечить зараженные им системные файлы. Руткит Rustock имеет три вариации - Rustock.A, Rustock.B и Rustock.C, последний из которых отличается повышенной зловредностью в том смысле, что своё присутствие в системе скрывает весьма умело и эффективно. Главное, чем данный бэкдор неприятен, так это тем, что заражённый компьютер Rustock/Ntldrbot превращает в спамбот, причём пользователь машины может об этом даже не подозревать. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область "специализации" этой сети - ценные бумаги и фармацевтика. Найти Rustock.C не удавалось весьма продолжительное время, многие начали подозревать, что Rustock.C просто не существует. Однако в начале 2008 года аналитики "Доктор Веб" его всё-таки выявили, и на данный момент им удалось обнаружить около 600 экземпляров руткита. "Доктор Веб" приводит основные технические характеристики данного Rustock.C: во-первых, у него имеется мощный полиморфный протектор, затрудняющий анализ и распаковку руткита; во-вторых, руткит реализован в виде драйвера уровня ядра, работает на самом низком уровне и своего отдельного, даже скрытого, процесса не имеет. У вируса имеется функция самозащиты, позволяющая противодействовать модификации времени исполнения. Какой-либо отладке вирус противодействует: например, он контролирует установку DR-регистров, нарушает работу отладчиков уровня ядра, таких как Syser, SoftIce, а отладчик WinDbg при активном рутките не работает вообще. Работает как файловый вирус, заражая системные драйверы. Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет. Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один. Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. От антируткитов защищается весьма и весьма успешно, чем его "невидимость" и объясняется. Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека и занимается рассылкой спама.