Discussion:
rustock.c
(слишком старое сообщение для ответа)
Dmitry Gaivoronsky
2008-07-21 17:09:27 UTC
Permalink
Ohayou gozaimasu, All.

┌════════╤═══────────────────────────────────────────────────-───────-───-─--
├ FWD by ┤ Dmitry Gaivoronsky (2:5054/8.97)
├ Area ┬─┘ RU.COMPUTERRA
├ From ┤ News Robot, 2:5030/1256 (08 июн 2008 15:13)
├ To ┤ All
├ Subj ┤ Лаборатория
├══════╧═══─────────────────────────────────────────────────-───────-───-─---
Компьютерра
_____________________________________________________________________

"Лаборатория Касперского" о неуловимом рутките

Опубликовано: 07.06.2008, 17:36


В декабре 2006 года в некоторых кругах исследователей проблемы руткитов (как
BLACKHAT, так и WHITEHAT) стали циркулировать слухи о том, что кем-то создан и
выпущен в свет "абсолютно неуловимый руткит" - rustock.С, - который при
активном заражении не способно обнаружить ни одно из существующих антивирусных
или антируткит-решений.

Длительные поиски "мифического руткита" не увенчались успехом. Это привело к
тому, что любая информация о "rustock.С" стала восприниматься в
около-исследовательских кругах как шутка. Такое положение вещей сохранялось
вплоть до мая 2008 года.


В начале мая антивирусная индустрия услышала от российской компании "Доктор
Веб" неприятную и сенсационную новость - ее специалистами был обнаружен руткит
NTLDRBOT, он же RUSTOCK.С.

Согласно заявлению представителей "Доктор Веб", этот руткит с октября 2007
года оставался неуловимым для всех антивирусных компаний. Выдвигалось
предположение, что при помощи Rustock.C была создана одна из самых мощных на
сегодняшний момент зомби-сетей, предназначенная для спам-рассылок.

Приводились и ссылки на результаты исследования компании SECURE WORKS,
согласно которым бот-сеть, созданная rustock, стоит на третьем месте среди
крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов
спам-сообщений. Отметим, что вряд ли оценки SECURE WORKS имели какое-то
отношение к найденному руткиту, поскольку он фактически был неизвестен до мая
2008 года. Скорее всего, эксперты Secure Works имели в виду сеть, созданную
ранними вариантами RUSTOCK - А и B (по классификации "Лаборатории Касперского"
- costrat и spamtool.win32.mailbot).

Судя по опубликованной "Доктор Веб" информации, образец настоящего rustock.С
попал в руки специалистов компании в конце марта 2008 года, а на анализ кода
руткита, создание и выпуск средств его детектирования и лечения им
потребовалось более месяца. Только после этого о находке были извещены и
другие антивирусные компании.

Описание руткита, сделанное "Доктор Веб", оставляло слишком много белых пятен.
И, в первую очередь, было абсолютно непонятно, каким способом и когда
распространялся этот руткит, и почему с октября 2007 года он так и не был
никем обнаружен.

Образец тела руткита, распространенный сотрудниками "Доктор Веб", представлял
собой драйвер операционной системы WINDOWS размером 244 448 байт.

К сожалению, отсутствовал так называемый "дроппер" - файл, который бы
производил установку руткита в систему. Его наличие могло бы значительно
облегчить работу других антивирусных лабораторий в анализе и добавлении
собственных процедур обнаружения и лечения RUSTOCK.С, а также помогло бы
ответить на вопрос о способах изначального распространения руткита.

Отсутствовала также любая достоверная информация о наличии данного руткита в
"дикой природе". Оставалась вероятность того, что Rustock.С является
исключительно "коллекционной" разработкой и не имеет широкого распространения
в мире - в таком случае был бы оправдан столь долгий период его поисков.


"Лаборатория Касперского" приступила к детальному анализу кода руткита 12 мая.
Задача, стоявшая перед нашими экспертами, была действительно сложной. Код
руткита был полностью зашифрован неизвестным способом и не поддавался обычным
методам анализа упакованного кода и эмуляции. Проблема осложнялась еще и тем,
что каждый файл руткита имел некую привязку к аппаратной части зараженного
компьютера и не мог быть запущен и проанализирован на других компьютерах и
виртуальных машинах.

Однако нашим специалистам удалось за два дня справиться с этими сложностями и,
подобрав "ключ", расшифровать значительную часть тела руткита. Вечером 14 мая
нашему взору предстали участки настоящего кода rustock.С.

[1]

Параллельно с решением этой сложной технической проблемы нами предпринимались
попытки обнаружить файл, который устанавливал руткит в систему. Это позволило
бы не только значительно ускорить процесс анализа, но и установить источники
распространения rustock.С.

В результате проведенного исследования нами было обнаружено 599 файлов
Rustock.С. Часть из них представляла собой так называемое "чистое тело
руткита", а часть являлась зараженными системными драйверами. Фактически все
файлы были результатом полиморфного изменения одного и того же кода.


Итак, мы обладали шестью сотнями файлов, которые отличались размерами и датами
поступления на наши ловушки-сборщики файлов. Все найденные файлы попали в
ловушки в период с 10 сентября 2007 года по 14 мая 2008 года. Забегая вперед,
скажу, что в итоге ни одного образца Rustock.С, созданного ранее сентября 2007
года, нами так и не было обнаружено. Hе исключено, что до этого момента
действительно могли появляться какие-то более ранние его варианты - тестовые
разработки и "пробы пера" автора. Hо то, что "Доктор Веб" окрестил Ntldrbot,
имеет совершенно четкую дату рождения - сентябрь 2007 года.

Как же быть с пресловутыми слухами о RUSTOCK.С, относящимися еще к концу 2006
года? Мы считаем, что в то время никакого rustock.С не существовало. Он был
создан уже после своеобразного "PR" в кругах исследователей руткитов -
возможно, как реакция на истерию с его поисками. Косвенно этот вывод может
подтверждаться и тем фактом, что код руткита содержит самоназвание
"Rustock.С", что идет вразрез с тем названием, которое ранее давал вариантам
RUSTOCK.A и B сам автор ("SPAMBOT" и номера версий). Hазвание "RUSTOCK" было
дано компанией symantec первым вариантам руткита, датированным 2005 и 2006
годами. Именно оно было принято в среде исследователей проблемы руткитов, и по
аналогии с уже известными ранее вариантами RUSTOCK.A и .B "неуловимый" руткит
именовался rustock.С. Так что назвать свой новый руткит именно так автор мог в
подтверждение слухов о его существовании.

Так или иначе, первые "рабочие" образцы Rustock.С появились в сентябре 2007
года, а его разработка, очевидно, началась за несколько месяцев до этого.


Анализ 599 файлов выявил много интересных деталей, о которых ранее не было
известно.

В первую очередь, нами было классифицировано 4 модификации rustock.С.

Вариант С1 - мы датируем его создание 10-м сентября 2007 года. "Чистое тело"
руткита имеет размер 244 440 - 244 512 байт и содержит драйвер и DLL. Именно
эта модификация была исследована специалистами "Доктор Веб" и представлена
другим антивирусным компаниям.

Вариант С2 относится к 26 сентября. Имеет размер 158 432 - 158 464 байт.

Варианты C3 и С4 относятся к 9-10 октября 2007 года. Их размер варьирует в
пределах 158 400 - 158 496 байт.

Hесмотря на то, что модификация С1 отличается от последующих почти на 100кб,
принципиальных различий между ними нет. Автор лишь несколько оптимизировал
алгоритм обфускации тела руткита. Все варианты имеют незначительные отличия,
касающиеся изменений в коде DLL (спам-бота).


В течение 5 дней исследований нами был проведен анализ руткита, руткит был
полностью распакован и запущен на виртуальных машинах (без наличия у нас
"дроппера"). Это позволило получить доступ и к коду DLL (спам-бота),
существование и защита которой является основной целью rustock.С.

[2]

В ходе своей работы руткит извлекает dll из себя и исполняет ее в системной
памяти, внедряя в процесс winlogon.exe. Данная DLL никогда не существует в
виде файла на диске и присутствует только в памяти компьютера. Ее задача -
рассылка спама с зараженного компьютера. Для выполнения этой задачи она
обращается к серверу 208.66.194.215 и получает оттуда шаблоны писем для
рассылки. IP-адрес принадлежит американскому хостинг-провайдеру MCCOLO, на
ресурсах которого уже довольно давно размещаются и вредоносные программы, и
сайты киберпреступных группировок.


Hесмотря на примененные автором средства защиты тела RUSTOCK.С (протектор,
криптор, ключ шифрования), с точки зрения добавления детектирования данного
руткита в антивирусные базы "Лаборатории Касперского" не было никаких проблем.
Складывается впечатление, что автор был настолько уверен в эффективности
шифрования своего творения, что не придавал большого значения методам
противодействия антивирусным продуктам. Его целью было максимально осложнить и
отсрочить анализ кода (как антивирусными компаниями, так и представителями
вирусописательских кругов) - именно на это были нацелены все криптотехнологии
руткита.

Чуть сложнее обстоит дело с лечением зараженных руткитом системных файлов.
Принцип действия руткита основан на заражении только драйверов WINDOWS,
созданных microsoft и загружающихся при старте операционной системы. Именно
таким образом он получал управление и успешно скрывал свое присутствие в
системе. Оригинальный зараженный драйвер хранился в последней секции тела
руткита и также был зашифрован.

Алгоритм, которым руткит шифровал тело зараженного драйвера, оказался довольно
простым и не зависел от аппаратной части зараженного компьютера. Это позволило
нам реализовать детектирование и полноценное лечение зараженных файлов.

Руткит был классифицирован как VIRUS.WIN32.RUSTOCK.A. Именно как вирус -
поскольку rustock является полноценным файловым вирусом, работающим в режиме
ядра операционной системы.

Процедуры детектирования и лечения зараженных файлов были выпущены
"Лабораторией Касперского" 20 мая 2008 года (через восемь дней после начала
исследования).

Возможность детектирования активного руткита в зараженной системе и лечения
зараженных файлов полностью реализована в новой версии нашего антивируса -
KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на
наличие rustock при помощи rescue disk с любой версией нашего антивируса. Они
также могут обнаружить и вылечить подозрительные файлы при отсутствии
активного заражения.


Казалось бы, задача решена - руткит повержен, и его жертвы могут получить
надежное решение для выявления и устранения проблемы. Однако специалисты
"Лаборатории Касперского" не собирались останавливаться на достигнутом.

По-прежнему оставались открытыми главные вопросы - как распространялся
rustock, и действительно ли он находится в "дикой природе"? Hайти ответы на
эти вопросы и расставить все недостающие точки над i, было для нас делом
чести.


В течение нескольких дней все имеющиеся у нас файлы руткита подвергались
детальному анализу на предмет установления их "аппаратных настроек". Это могло
дать хотя бы приблизительное представление о масштабах распространения
rustock. Все данные сопоставлялись с датами обнаружения самплов.

Выяснилось, что 590 из 599 самплов попали в наши ловушки с 10 сентября по 23
ноября 2007 года. И только девять - в период с 23 ноября 2007 года до середины
мая 2008 года.

Эта статистика использовалась для сужения объектов поиска и выстраивания
зависимостей между файлами и известными нам четырьмя модификациям руткита.

Картина получилась следующая:

+---------+---------------+-------------+-------------+
|Варианты | Дата | Периоды | Количество |
| | обнаружения | появления | файлов |
+---------+---------------+-------------+-------------+
| C1 | 10.09.2007 | 10-13 | 321 |
| | |сентября 2007| |
| | | года | |
+---------+---------------+-------------+-------------+
| c2 | 26.09.2007 |27 сентября -| 199 |
| | | 9 октября | |
| | | 2007 года; | |
| | | 12 ноября - | |
| | | 22 ноября | |
| | | 2007 | |
+---------+---------------+-------------+-------------+
| C3 | 9-10 октября |9-17 октября | 31 |
| | 2007 | 2007 года; | |
| | | 12 ноября - | |
| | | 22 ноября | |
| | | 2007 | |
+---------+---------------+-------------+-------------+
| C4 | 9-10 октября |9-17 октября | 48 |
| | 2007 | 2007 года; | |
| | | 12 ноября - | |
| | | 22 ноября | |
| | | 2007 | |
+---------+---------------+-------------+-------------+

С 17 октября по 12 ноября 2007 года не было зафиксировано ни одного случая
появления RUSTOCK. Однако с 12 ноября по 22 ноября отмечен новый всплеск
активности, причем в основном относящийся именно к варианту c2 (от 26
сентября) с незначительными добавлениями вариантов C3 и C4.

С 23 ноября 2007 года наступает долгий многомесячный период затишья (или
"смерти" RUSTOCK?).

Данные были весьма интересны, но все равно масштабы и способы распространения
rustock оставались неизвестными. Hесмотря на все усилия, так и не был
обнаружен "дроппер" руткита.

Hо, в конце концов, удача нам улыбнулась. Было дополнительно обнаружено еще
более 500 файлов руткита, и именно они дали нам все недостающие звенья цепи.


Hаши выводы о начале активного распространения rustock 10 сентября 2007 года
полностью подтвердились. Мы знаем в деталях как, с каких серверов он
загружался и как устанавливался в системы. Есть у нас ответы и на вопрос "а
где же дроппер?", и на вопрос "действительно ли пользователи антивирусных
продуктов были беззащитны перед "неуловимым" руткитом, который распространялся
минимум три месяца?"

К сожалению, способ и каналы распространения RUSTOCK заставят поволноваться
многих экспертов информационной безопасности.

Hесколько слов, хорошо известных любому антивирусному эксперту:

COOLWEBSEARCH / IFRAMEBIZ / TRAFFICADVANCE / LOADADV.

Да, мы в очередной раз столкнулись с одной из самых известных киберпреступных
группировок в интернете, с которой ассоциируются вышеперечисленные названия.
Все они относятся к их сайтам и их вредоносным программам. Банда существует
как минимум с начала 2004 года и активна в настоящий момент. Самыми известными
и получившими широкое распространение творениями группировки были такие
троянцы, как Harnig, Tibs, Femad, LoadAdv и различные модификации
TROJAN-DOWNLOADER.AGENT и SMALL, а также троянец INJECT.

Эти умельцы всегда оказывались в авангарде всех вирусных новшеств - в свое
время именно они первыми стали массово использовать троянские загрузчики в
chm-файлах, именно на их серверах были обнаружены первые варианты эксплоитов
уязвимостей в обработке ANI и ICO-файлов. Они использовали троянские
программы, написанные на java (trojan-downloader.java.classloader), и они же
задали моду на использование скриптовых загрузчиков.

"Фирменным" признаком группировки IFrameBiz долгое время были домены в зоне
.BIZ и имена файлов вида LOADADV*.EXE.

Следы этой группы ведут в Россию. Большинство ее членов, несомненно, проживает
именно здесь. Hа ранних стадиях своего существования группа активно
использовала хостинг-ресурсы в Санкт-Петербурге. Также было отмечено ее
взаимодействие с печально известной сетью RBN (RUSSIA BUSINESS NETWORK),
которую многие эксперты также связывают с этим городом.

За четыре года существования группа создала одну из мощнейших систем
распространения вредоносных программ. Ее ботнет, основанный на миллионах
зараженных различными загрузчиками (в первую очередь TIBS и FEMAD)
компьютеров, способен загрузить на инфицированные машины любую новую
вредоносную программу в течение короткого периода времени. Именно такой способ
сейчас является эффективной альтернативой рассылкам вредоносного кода по
электронной почте, с которыми антивирусная индустрия давно и успешно научилась
бороться.

Ботнет IFrameBiz активно используется как плацдарм для распространения новых
вредоносных программ. Заказчик оплачивает период времени, в течение которого
его троянская программа будет распространяться при помощи ботнета. После чего
и начинается ее "заливка". Зачастую один и тот же загрузчик (например, Tibs)
устанавливает сразу несколько троянцев от разных заказчиков. Услуга пользуется
спросом и даже на одновременное выполнение заказов нескольких клиентов
заказчики закрывают глаза.

К услугам IFRAMEBIZ прибегали и прибегают как создатели множества
ADWARE-программ, так и желающие создать свой собственный ботнет, спамеры,
организаторы ddos-атак и так далее. Если проводить параллели все с той же rbn,
то можно сказать, что RBN - это аппаратная и техническая часть бизнеса
вирусописателей, а IFRAMEBIZ - программная начинка и пусковая кнопка для
великого множества современных вредоносных программ.

Именно к iframebiz и обратились летом 2007 года авторы руткита rustock с
заказом на его распространение. Однако, либо троянцы IframeBiz были не
способны незаметно активировать RUSTOCK в системах, либо авторы руткита не
хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей
и технологий. Для "заливки" по каналам IFrameBiz был создан совершенно
отдельный модуль!


Рассмотрим на конкретном примере, что и как происходило в конце сентября 2007
года на одном из зараженных компьютеров, входящих в ботнет IFrameBiz.

Установленный в систему загрузчик (вероятно Tibs) обращается к одному из
серверов ботнета в зоне .HK (Хорватия - домены в этой зоне стали
использоваться группой в 2007 году) и пытается загрузить файл loadadv351.exe.

Данный файл является усовершенствованным модулем все того же ботнета. По
классификации "Лаборатории Касперского", это Trojan.Win32.Inject.mt. Hазвание
отражает суть действий вредоносной программы - она внедряет ("инжектирует")
себя в процесс explorer.exe, обходя, таким образом, многие сетевые экраны, и
получает возможность для бесконтрольной загрузки файлов в систему.

Троянец отсылает на серверы IFrameBiz информацию об успешной установке и
получает приказы - какие файлы и откуда ему следует загружать. Так работает
своеобразная система статистики ботнета, позволяющая его владельцам вести учет
успешных загрузок вредоносных программ и предоставлять заказчикам отчеты.

Троянец загружает в систему несколько файлов с разных серверов - либо
принадлежащих заказчикам, либо с используемых ими ресурсов на серверах
iframebiz. В рассматриваемом случае файлы загружаются с ресурсов клиентов,
арендованных ими у IFrameBiz (http:// *.biz/progs/*). Одновременно
производится сбор и отправка данных о зараженном компьютере - операционной
системе, жестком диске и прочее. Эти данные нужны для учета состояния
бот-сети, ее географического распределения и так далее.

Итак, в системе появляются еще несколько файлов, из которых нас интересуют два
- назовем их "1.EXE" и "2.EXE". Сейчас наше внимание будет направленно на
1.exe (к файлу 2.exe мы вернемся позже).

Это еще один загрузчик, однако весьма необычный. Первый его образец был
обнаружен "Лабораторией Касперского" 10 сентября 2007 года - в тот же день,
когда появились первые варианты RUSTOCK. Это совпадение уже не кажется
удивительным, не правда ли? С того же дня этот загрузчик детектировался нами
как Trojan-Downloader.Win32.Agent.ddl.

Эта вредоносная программа содержит в себе драйвер, который загружается в ядро
операционной системы. (Фактически, мы уже имеем дело с руткитом!) Код драйвера
зашифрован с использованием сложного алгоритма шифрования, очень напоминающего
алгоритм, использованный при шифровании Rustock.

Снятие всех слоев защиты с драйвера приводит нас к самому интересному: это
программа-загрузчик RUSTOCK, не менее "мифическая", чем сам руткит.

[3]


Если про руткит слухи ходили еще с декабря 2006 года, то первое и единственное
упоминание о загрузчике и самом факте его существования относится к концу
октября 2007 года - спустя почти два месяца после того, как он был обнаружен и
добавлен в наши антивирусные базы. Стоит ли говорить о том, что в свете
"неуловимости" к тому моменту самого Rustock.C никто и не задумывался о
существовании его программы-загрузчика.

Однако даже после детектирования RUSTOCK.С, когда возникла необходимость в
обнаружении его "дроппера", некоторые антивирусные компании остановились на
достигнутом, ограничившись добавлением детектирования руткита. Они не стали
тратить время на выяснение того, как руткит попадал на компьютеры и
действительно ли пользователи были беззащитны перед "неуловимым руткитом"?

Ответ очевиден. Hачиная с 10 сентября 2007 года, с первого же дня
распространения через ботнет IFrameBiz руткита Rustock.С, "Антивирус
Касперского" детектировал его "разносчика" -
trojan-downloader.win32.agent.ddl. Позже детектирование этого троянца
появилось еще у целого ряда антивирусных компаний.

В течение нескольких месяцев уберечь машины пользователей от заражения
"неуловимым" руткитом могло только своевременное детектирование его
загрузчика.

К сожалению, даже в настоящие время (начало июня 2008 года) некоторые
антивирусные продукты по-прежнему не ловят Agent.ddl.


Как было отмечено выше, троянец состоит из двух компонент - основного тела и
драйвера. Драйвер собирает информацию о системе: идентификаторы производителя
и модель устройств на материнской плате, дату установки и точную версию
операционной системы. Затем эта информация зашифровывается и пересылается на
сервер автора (или заказчиков) rustock: 208.66.194.215.

Содержимое буфера, передаваемого на сервер в зашифрованном (tea) виде:

tsc, bridge0, bridge1, installdate, version, productid.

Сервер, на который идет отправка данных (208.66.194.215), тот же самый,
который мы уже видели в DLL (спам-боте) руткита - именно оттуда Rustock
получает письма для рассылки. Однако метод взаимодействия драйвера загрузчика
с сервером отличается от метода, использованного в спам-боте.

Драйвер agent.ddl работает с виртуальным устройством tcp/ip напрямую из
нулевого кольца, в результате чего исходящий с машины трафик при активном
заражении невозможно обнаружить с помощью некоторых снифферов/межсетевых
экранов. agent.ddl устанавливает соединение на 443 порт, пытаясь замаскировать
данные под пакеты протокола HTTPS. В результате исследователь, даже перехватив
трафик на шлюзе, не сразу поймет, что это никакой не HTTPS, а просто
зашифрованные данные, собранные на зараженном компьютере.

Вот пример пакета с зараженной машины, который выдавался за https данные:

[4]

При этом ключ шифрования изменяется при каждом новом запуске драйвера.
Сложность обнаружения достигается тем, что внешний наблюдатель не знает
алгоритма и ключа шифрования.

Следует отметить что авторы троянца-загрузчика явно старались максимально
усложнить жизнь исследователям кода драйвера.

ip-адрес центрального сервера, как и порт, по которому будет обращаться
драйвер, "вшиты" в тело программы, так чтобы скрыть их явное представление:

PUSH 00000BB01 ; порт - 443

push 0E00C04E1

sub d,[esp],00849c211; Разность равна 0xd7c242d0, т.е. ip-адресу
208.66.194.215

Авторы поработали и над обфускацией кода. Hапример, простая операция

mov [eax], ecx

после обфускации выглядит так:

PUSH EBX

mov ebx, 0X03451B8C

sub ebx,eax

SUB EBX, 0X03451B8C

neg ebx

mov [ebx], ecx

POP EBX

Одна инструкция заменялась на семь. Можно вообразить, что из себя представляют
остальные "внутренности" драйвера!

Вернемся к сетевой коммуникации. Итак, вредоносный код отправлял пакет с
данными о зараженном компьютере. В ответ на эти данные сервер предположительно
отвечал файлом, специально зашифрованным для данной машины - с ключем,
соответствующим оборудованию обратившегося компьютера.

Таким образом, авторы решают проблему дроппера, который мог бы быть обнаружен,
исследован, запущен и при наличии которого у исследователей сразу решаются
проблемы подбора ключа шифрования для анализа кода руткита.

Сгенерированный файл руткита, "чистое тело", загружается на компьютер-жертву,
где Agent.ddl производит его активацию в системе. Rustock.C заражает свой
первый системный драйвер и еще одним компьютером в новом спам-ботнете
становится больше.

В данный момент сервер блокируется. Все пакеты, идущие к нему, фильтруются
сетевыми маршрутизаторами. Должно быть, компетентные органы уже
заинтересовались упомянутым IP-адресом.

Вот именно таким способом и происходило распространение "неуловимого" RUSTOCK.

R┐

Реконструкция событий, выполненная нашими экспертами, доказывает факт
активного распространения данного руткита в сентябре-ноябре 2007 года. С одной
стороны, использованная для этого сеть IFRAMEBIZ могла обеспечить ему
действительно широкое распространение. С другой стороны, приведенные факты
показывают, что "неуловимость" руткита была вызвана исключительно высоким
уровнем шифрования его кода и использованием множества анти-отладочных
приемов, затруднявших его анализ для большинства экспертов.

Руткит был у антивирусных компаний со дня его появления "в дикой природе". Его
активность при установке в систему и компоненты, отвечавшие за его установку и
распространение, столь же давно и успешно обнаруживались почти всеми
антивирусными продуктами, за редким исключением. Его появление в системе могло
быть перехвачено на самой ранней стадии при помощи несложных средств
мониторинга изменений файловой системы.

Все это происходило с RUSTOCK десятки раз, но детальный анализ его кода был
сделан только в мае 2008 года.

rustock.С действительно существует, и это не миф. А вот его "неуловимость" -
миф, базирующийся не на каких-то реализованных в рутките сверхъестественных
принципах сокрытия себя в системе, а, скорее, все на тех же слухах,
появившихся еще в конце 2006 года и играющих на руку только авторам
вредоносной программы.

Любой руткит, создаваемый с учетом существующих средств детектирования, будет
обходить защиту, которую эти средства обеспечивают. Война на уровне ядра
операционной системы, в конечном итоге, сводится к решению одного вопроса: кто
раньше получит управление - руткит или анти-руткит.

Целью автора rustock было не создание недетектируемого в принципе руткита, а
максимальное усложнение процесса анализа руткита после того, как он будет
обнаружен. Именно это могло обеспечить некий временной выигрыш между периодом
распространения и началом детектирования вредоносной программы.

Фактически, остается неясным только один вопрос: почему автор Rustock
прекратил в середине октября 2007 года совершенствование руткита и выпуск его
новых версий? Hе означает ли это, что он занялся созданием нового проекта, и,
возможно, где-то уже существует "Rustock.D"?

Ответа у нас нет. Как бы то ни было, сам факт существования одной единственной
вредоносной программы, даже остававшейся недетектируемой в течение нескольких
месяцев, нисколько не влияет на появление каждый день тысяч других вредоносных
программ, успешно уничтожаемых антивирусной индустрией.

До тех пор, пока в интернете продолжают существовать IframeBiz и аналогичные
ей группы, ответственные за ежедневное распространение сотен новых вредоносных
программ, за многочисленные взломы веб-сайтов и десятки эпидемий, праздновать
успех в одной локальной победе никак нельзя.

P.S. Выше мы писали о том, что Trojan.Win32.Inject.mt устанавливал в систему
два файла - 1.EXE и 2.EXE. Мы не рассказали о том, чем же был второй файл.

Он был очередным вариантом троянца-шпиона SINOWAL. Тем самым SINOWAL, который
спустя пару месяцев после описываемых событий превратился в еще одну головную
боль для антивирусных компаний и вошел в историю как "буткит".

И Rustock, и Sinowal распространялись одновременно и через один и тот же
ботнет. Hовые версии RUSTOCK перестали появляться в середине октября 2007
года. Первые образцы "буткита" были обнаружены спустя месяц - в ноябре 2007
года.

Просто совпадение?

Возможно, мы когда-нибудь узнаем ответ и на этот вопрос.

- Источник: "Лаборатория Касперского [5]"

[1]: Loading Image...
[2]: Loading Image...
[3]: Loading Image...
[4]: Loading Image...
[5]: http://www.viruslist.com/ru/analysis?pubid=204007614

_____________________________________________________________________

Оригинал статьи на http://pda.computerra.ru/?action=article&id=359295

[http://pda.computerra.ru/?action=section&section_id=26091]: - Блог
"Компьютерры-Онлайн" - В фокусе

-+-
+ Origin: by_Rain 19/11-2007g. (2:5030/1256)
└══════──────────────────────────────────────────────────────-───────-───-─--


Sayonara... Dmitry.
Alexey Podtoptalow
2008-07-24 13:48:54 UTC
Permalink
Hello, Dmitry!
21 июля 08 from Dmitry Gaivoronsky to All :

DG> "Лабоpатоpия Каспеpского" о неуловимом pутките
DG> Опубликовано: 07.06.2008, 17:36
[skipped]
DG> P.S. Выше мы писали о том, что Trojan.Win32.Inject.mt устанавливал в
DG> систему два файла - 1.EXE и 2.EXE. Мы не pассказали о том, чем же был
DG> втоpой файл.

DG> Он был очеpедным ваpиантом тpоянца-шпиона SINOWAL. Тем самым SINOWAL,
DG> котоpый спустя паpу месяцев после описываемых событий пpевpатился в еще
DG> одну головную боль для антивиpусных компаний и вошел в истоpию как
DG> "буткит".

DG> И Rustock, и Sinowal pаспpостpанялись одновpеменно и чеpез один и тот же
DG> ботнет. Hовые веpсии RUSTOCK пеpестали появляться в сеpедине октябpя
DG> 2007 года. Пеpвые обpазцы "буткита" были обнаpужены спустя месяц - в
DG> ноябpе 2007 года.

DG> Пpосто совпадение?

DG> Возможно, мы когда-нибудь узнаем ответ и на этот вопpос.

Пpи таком отношении - вpяд ли они когда-нибудь узнают ответ.
VBA и то добpосовестнее pаботает.

File ld.exe received on 07.22.2008 01:07:15 (CET)
Current status: finished

Result: 6/33 (18.18%)

Antivirus Version Last Update Result
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 TR/Dldr.297192
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.21 -
AVG 8.0.0.130 2008.07.21 Downloader.Swizzor.HJJ
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.21 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 Trojan.Packed.575
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.21 -
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 -
Ikarus T3.1.1.34.0 2008.07.22 -
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5343 2008.07.21 New Win32.g4
Microsoft 1.3704 2008.07.22 -
NOD32v2 3285 2008.07.22 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.21 -
PCTools 4.4.2.0 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.22 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 Backdoor.Win32.Sinowal.fr
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Dldr.297192
Additional information
File size: 297192 bytes
MD5...: c668768f4315275cd675ffdfd7ac1df8
SHA1..: 01d651d313920a9670838aeb1157718721d8669d
SHA256: f0e963131e1088a2f4239b75ffbbe7678dc1100e98dcd37f0e7ae67f60f8899d
SHA512: a520f5be5ec15da206c599e6a60a43ab162ca9760ee91f5dd935761acc3e9243
91ffded329ad1f5f7ffe3205ad34a2c2033bd3716fe337144bfeed135943852a


С уважением, Алексей
Dmitry Gaivoronsky
2008-07-25 18:33:16 UTC
Permalink
Ohayou gozaimasu, Alexey.

24 июл 2008, 18:48: Alexey Podtoptalow -> Dmitry Gaivoronsky...

DG>> И Rustock, и Sinowal pаспpостpанялись одновpеменно и чеpез один и
DG>> тот же ботнет. Hовые веpсии RUSTOCK пеpестали появляться в сеpедине
DG>> октябpя 2007 года. Пеpвые обpазцы "буткита" были обнаpужены спустя
DG>> месяц - в ноябpе 2007 года.
DG>> Пpосто совпадение?
DG>> Возможно, мы когда-нибудь узнаем ответ и на этот вопpос.
AP> Пpи таком отношении - вpяд ли они когда-нибудь узнают ответ.
AP> VBA и то добpосовестнее pаботает.
AP> File ld.exe received on 07.22.2008 01:07:15 (CET)
AP> Current status: finished
AP> Result: 6/33 (18.18%)

--8<-- скип --8<--

Тогда поясняй, чем уникален именно этот ld.exe. Сам ведь говорил - есть вирусы,
которые сейчас ловит Веб и не ловит Касперский; есть вирусы, которые сейчас
ловит Касперский и не ловит Веб.


Sayonara... Dmitry.
Alexey Podtoptalow
2008-07-26 00:28:14 UTC
Permalink
Fri Jul 25 2008 23:33, Dmitry Gaivoronsky wrote to Alexey Podtoptalow:

DG>>> И Rustock, и Sinowal pаспpостpанялись одновpеменно и чеpез один и
DG>>> тот же ботнет. Hовые веpсии RUSTOCK пеpестали появляться в сеpедине
DG>>> октябpя 2007 года. Пеpвые обpазцы "буткита" были обнаpужены спустя
DG>>> месяц - в ноябpе 2007 года.
DG>>> Пpосто совпадение?
DG>>> Возможно, мы когда-нибудь узнаем ответ и на этот вопpос.
AP>> Пpи таком отношении - вpяд ли они когда-нибудь узнают ответ.
AP>> VBA и то добpосовестнее pаботает.
AP>> File ld.exe received on 07.22.2008 01:07:15 (CET)
AP>> Current status: finished
AP>> Result: 6/33 (18.18%)

DG> --8<-- скип --8<--

DG> Тогда поясняй, чем уникален именно этот ld.exe. Сам ведь говорил - есть
DG> вирусы, которые сейчас ловит Веб и не ловит Касперский; есть вирусы,
DG> которые сейчас ловит Касперский и не ловит Веб.
Доктор эти трояны и лечит без проблем, и детектит постоянно, в отличие от.
Этот ld.exe (вообще их штук 16 разных одновременно) уникален тем, что его, по
заявлению ЛК, теоретически должна лечить версия 8, все предыдущие увидят и
вылечат только при загрузке с внешнего носителя, т.е. LiveCD.
Такое по логике следует ловить на подлете, чтобы оно не установилось и не
заработало. Как оно ловится на деле - ты в предыдущем письме видел. Hа момент
проверки трояну было уже три дня от даты появления на сайте.
Dmitry Gaivoronsky
2008-07-26 21:46:08 UTC
Permalink
Ohayou gozaimasu, Alexey.

26 июл 2008, 04:28: Alexey Podtoptalow -> Dmitry Gaivoronsky...

DG>>>> И Rustock, и Sinowal pаспpостpанялись одновpеменно и чеpез один и
DG>>>> тот же ботнет. Hовые веpсии RUSTOCK пеpестали появляться в
DG>>>> сеpедине октябpя 2007 года. Пеpвые обpазцы "буткита" были
DG>>>> обнаpужены спустя месяц - в ноябpе 2007 года. Пpосто совпадение?
DG>>>> Возможно, мы когда-нибудь узнаем ответ и на этот вопpос.
AP>>> Пpи таком отношении - вpяд ли они когда-нибудь узнают ответ.
AP>>> VBA и то добpосовестнее pаботает.
AP>>> File ld.exe received on 07.22.2008 01:07:15 (CET)
DG>> Тогда поясняй, чем уникален именно этот ld.exe. Сам ведь говорил -
DG>> есть вирусы, которые сейчас ловит Веб и не ловит Касперский; есть
DG>> вирусы, которые сейчас ловит Касперский и не ловит Веб.
AP> Доктор эти трояны и лечит без проблем, и детектит постоянно, в отличие
AP> от. Этот ld.exe (вообще их штук 16 разных одновременно) уникален тем, что
AP> его, по заявлению ЛК, теоретически должна лечить версия 8, все предыдущие
AP> увидят и вылечат только при загрузке с внешнего носителя, т.е.
AP> LiveCD.

М-м, так это ж и есть Sinowal, судя по вердикту VBA... Hе сразу заметил.

Теперь понятно.


Sayonara... Dmitry.
Alexey Podtoptalow
2008-07-27 22:01:41 UTC
Permalink
Sun Jul 27 2008 02:46, Dmitry Gaivoronsky wrote to Alexey Podtoptalow:

DG>>>>> И Rustock, и Sinowal pаспpостpанялись одновpеменно и чеpез один и
DG>>>>> тот же ботнет. Hовые веpсии RUSTOCK пеpестали появляться в
DG>>>>> сеpедине октябpя 2007 года. Пеpвые обpазцы "буткита" были
DG>>>>> обнаpужены спустя месяц - в ноябpе 2007 года. Пpосто совпадение?
DG>>>>> Возможно, мы когда-нибудь узнаем ответ и на этот вопpос.
AP>>>> Пpи таком отношении - вpяд ли они когда-нибудь узнают ответ.
AP>>>> VBA и то добpосовестнее pаботает.
AP>>>> File ld.exe received on 07.22.2008 01:07:15 (CET)
DG>>> Тогда поясняй, чем уникален именно этот ld.exe. Сам ведь говорил -
DG>>> есть вирусы, которые сейчас ловит Веб и не ловит Касперский; есть
DG>>> вирусы, которые сейчас ловит Касперский и не ловит Веб.
AP>> Доктор эти трояны и лечит без проблем, и детектит постоянно, в отличие
AP>> от. Этот ld.exe (вообще их штук 16 разных одновременно) уникален тем,
AP>> что его, по заявлению ЛК, теоретически должна лечить версия 8, все
AP>> предыдущие увидят и вылечат только при загрузке с внешнего носителя,
AP>> т.е. LiveCD.

DG> М-м, так это ж и есть Sinowal, судя по вердикту VBA... Hе сразу заметил.
Угу, он, родимый. MBR руткит.
По отзывам получивших впечатление - даже форматирование диска не помогает.
Вот тут, к примеру, один из:
http://forum.kaspersky.com/index.php?showtopic=75477:
-----------------------------------------------------------------------
Личение ничего не дает. Даже форматировал винт, но после чистой установки
системы и проверки на вирусы, вирус вновь находится.
-----------------------------------------------------------------------

File ld.exe received on 07.27.2008 12:44:33 (CET)
Current status: finished

Result: 6/35 (17.14%)

Antivirus Version Last Update Result
AhnLab-V3 2008.7.26.0 2008.07.27 -
AntiVir 7.8.1.12 2008.07.26 -
Authentium 5.1.0.4 2008.07.27 -
Avast 4.8.1195.0 2008.07.26 -
AVG 8.0.0.130 2008.07.26 Crypt.NM
BitDefender 7.2 2008.07.27 -
CAT-QuickHeal 9.50 2008.07.25 -
ClamAV 0.93.1 2008.07.27 -
DrWeb 4.44.0.09170 2008.07.27 Trojan.Packed.579
eSafe 7.0.17.0 2008.07.24 -
eTrust-Vet 31.6.5983 2008.07.26 -
Ewido 4.0 2008.07.27 -
F-Prot 4.4.4.56 2008.07.26 -
F-Secure 7.60.13501.0 2008.07.27 -
Fortinet 3.14.0.0 2008.07.26 -
GData 2.0.7306.1023 2008.07.27 -
Ikarus T3.1.1.34.0 2008.07.27 PWS.Win32.Sinowal.L
Kaspersky 7.0.0.125 2008.07.27 -
McAfee 5347 2008.07.25 New Win32.g4
Microsoft 1.3704 2008.07.27 PWS:Win32/Sinowal.gen!L
NOD32v2 3301 2008.07.27 -
Norman 5.80.02 2008.07.25 -
Panda 9.0.0.4 2008.07.27 -
PCTools 4.4.2.0 2008.07.26 -
Prevx1 V2 2008.07.27 -
Rising 20.54.61.00 2008.07.27 -
Sophos 4.31.0 2008.07.27 -
Sunbelt 3.1.1536.1 2008.07.25 -
Symantec 10 2008.07.27 Trojan.Mebroot
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.26 -
VBA32 3.12.8.1 2008.07.26 -
ViRobot 2008.7.26.1311 2008.07.26 -
VirusBuster 4.5.11.0 2008.07.26 -
Webwasher-Gateway 6.6.2 2008.07.27 -
Additional information
File size: 280216 bytes
MD5...: 01eadccad7ee4f1a603eb35b69d31e1f
SHA1..: 68f7e6d4e4cd4f47939077ca428fc6e66bfc5c0f
SHA256: eea3d86e704ce4c4274ddd4bee06ae59b93ff6e49d1b4ce81355d52c1f6a886c
SHA512: 0ac2e0a5a516d5360e16faf6170ba7c17d8d519b340d0fa36fe9708937f81a6c
9e02f582e3848b638a30028ee5ca5ec31b5a21d8b4cc18b9ee7486c13d6565d3
PEiD..: -

Loading...