Q & A
V prosinci 2006, pověsti začaly obíhat mezi rootkit badatelů (oba blackhat a whitehat), že někdo vytvořil a vydal 'absolutně nezjistitelné' rootkit, Rustock.С, které nemohly být zjištěny v počítačích, kde to bylo aktivní některou z existujících antivirus nebo anti-rootkit řešení.
Dlouhém hledání 'mýtický rootkit' nepřinesla žádné výsledky. V důsledku toho byla nějaká informace o Rustock.C zacházeno jako vtip v kruzích téměř rootkit výzkumníků. Toto pokračovalo až do května 2008.
Na počátku května, ruská společnost Dr.Web oznámila, že její antivirový komunity odborníci objevili nový rootkit nazvaný Ntldrbot, aka Rustock.С. Tento kus zpráv bylo asi nepříjemné, jak to bylo senzační.
Podle Dr.Web, rootkit unikl všech dodavatelů antivirového softwaru od října 2007. To bylo navrhl, že Rustock.C byl použit k vytvoření jedné z dnešní rozsáhlé sítě zombie pro rozesílání spamu. Dr.Web také odkazoval se na studie, kterou bezpečně práce, podle kterého botnet byl vytvořen pomocí Rustock třetí-největší sítě zombie, schopný posílat až na 30 miliard nevyžádaných zpráv denně. Nicméně, je nepravděpodobné, že bezpečně funguje odhad měl co do činění s nově zjištěných-rootkit, protože to byl prakticky neznámý až do května 2008. S největší pravděpodobností, Bezpečná práce odborníků znamenal botnet vytvořený pomocí starší varianty Rustock - А a B (Trojan-Clicker.Win32.Costrat a SpamTool.Win32.Mailbot, podle klasifikace Kaspersky Lab).
Soudě podle informací zveřejněných Dr.Web, společnosti odborníků získal vzorek skutečné Rustock.С koncem března 2008 a trvalo jim to přes měsíc analyzovat rootkit kód a vytvářet a nástroje umožňující jeho detekce a léčba. Jiné antivirové společnosti bylo oznámeno po tomto zjištění.
Popis rootkit připravené Dr.Web levé příliš mnoho otázek nezodpovězených. V první řadě, to bylo úplně jasné, jak a kdy se rootkit šíří a proč nikdo zjistí, že od října 2007.
Vzorek rootkit těla distribuovaný Dr.Web bylo 244.448-byte Windows ovladače.
Bohužel, takzvaný kapátko, tj. soubor navržený pro instalaci rootkit o systému, chyběl. Pokud by byla poskytnuta, může mít tento soubor značně zjednodušené práce prováděné jiné antivirové laboratoře k analýze rootkit a vytvořit postupy pro detekci a léčbu Rustock.С. Mohlo by to také pomohlo objasnit, jak se původně rootkit šíří.
Tam byl také žádné spolehlivé informace o existenci rootkit 'v divočině'. Tam zůstala možnost, že Rustock.С není nic víc než 'sběratelská položka' a byl ještě rozšířen, což by vysvětlovalo dlouhou dobu, že to vzal ji najít.
Kaspersky Lab začal hrát in-hloubkové analýzy rootkit kód 12. května. Úkolu, kterým čelí naši odborníci bylo opravdu obtížné, protože rootkit je celý kód byl zašifrované pomocí neznámá metoda a nemohou být analyzovány pomocí obvyklého stlačeného-kód analýzy a emulace techniky. Další komplikující problém byl fakt, že každý soubor rootkit měl nějaký hardware vazby na infikovaném počítači a nemohl být vykonán a analyzovány na jiné počítače nebo virtuální stroje.
Nicméně, to trvalo jen naši odborníci dva dny překonání těchto obtíží, crack a klíč dešifrovat většina rootkit těla. Na večeru 14. května jsme byli schopni zobrazit části reálného kódu Rustock.С.
Nicméně, to trvalo jen naši odborníci dva dny překonání těchto obtíží, crack a klíč dešifrovat většina rootkit těla. Na večeru 14. května jsme byli schopni zobrazit části reálného kódu Rustock.С.
Tak jsme měli šest set obrázků s různou velikostí, které byly uloveny v našem lákadla v různých časech.Všechny soubory byly shromážděny v období od 10.9.2007 do 14. května 2008. Únikem z příběhu, mohu říci, že jsme se nikdy nenašla žádné vzorky Rustock.C vytvořena do září 2007. Je možné, že některé varianty vyvinutý pro testovací účely a jiné první pokusy autor objevil před této době. Avšak to, co Dr.Web volá Ntldrbot rozhodně se datuje od září 2007.
Takže, co zvěsti o Rustock.C, které byly široce diskutuje jako daleká záda jako na konci roku 2006?Věříme, že Rustock.C neexistoval v té době. To bylo vytvořeno po podporu druhů v rootkit výzkumník kruzích - možná v reakci na hysterii, která doprovázela vyhledat. Nepřímo, je tento závěr podporuje i skutečnost, že se škodlivý program jméno zahrnuty v rootkit kód je 'Rustock.С'. Toto je odlišné od názvů uvedených podle autora Rustock.A a B varianty ('Spambot' plus číslo verze). Jméno Rustock byl dán Symantec na první varianty rootkit ze 2005 a 2006. To byl název používaný rootkit výzkumných pracovníků, a 'nepolapitelný' rootkit byl jmenován Rustock.C obdobně známých variant, a Rustock.A. B.Proto může autor dali toto jméno na nové rootkit potvrdit zvěsti, že ve skutečnosti existovala.
V každém případě, první 'provozní' vzorky Rustock.С se objevil v září 2007 a jeho vývoj začal zřejmě několik měsíců před tím.
Analýza z 599 dostupných souborů odhalil mnoho zajímavých informací, které byly dříve neznámé.
Máme čtyři změny Rustock.С.
Varianta C1 je datován 10.9.2007. Rootkit je 'čisté tělo' je 244.440 až 244.512 bytů ve velikosti a obsahuje ovladače a DLL. To byla změna studoval Dr.Web odborníků a byly předloženy další antivirového softwaru.
Varianta C2 je datován 26. září. To je mezi 158.432 a 158.464 bytů.
Varianty C3 a C4 byly vytvořeny 9. října a 10, 2007. Jejich velikost se pohybuje od 158.400 do 158.496 bytů.
Ačkoli modifikace C1 je téměř 100 kilobajtů větší než ty, které následovalo, nejsou tam žádné zásadní rozdíly mezi tímto a dalšími úpravami. Autor pouze optimalizované zmatek algoritmus pro rootkit tělo. DLL kód (Spambot) se mírně odlišuje od varianty k variantě.
Trvalo nám to pět dnů analyzovat rootkit: to bylo úplně rozbalen a popraven na virtuální stroje (a to i přes skutečnost, že jsme neměli 'kapátko'). Toto nám dal přístup ke kódu DLL (dále jen "Spambot) údržba a ochrana, která je hlavním účelem Rustock.С.
V procesu jeho provozu, rootkit výtažky DLL z jeho těla a vykoná ji v systémové paměti, injektáž do winlogon.exe procesu. DLL existuje pouze v paměti RAM a nikdy není přítomna na pevném disku v podobě souboru. Jeho účelem je k rozesílání spamu z infikovaného počítače. Chcete-li provést tento úkol, to se připojí k serveru na 208.66.194.215 a přijímá šablony zpráv z ní. IP adresa patří do USA poskytovatele hostingu MCCOLO, jejichž zdroje jsou již dlouho používá pro distribuci nebezpečných programů a hostování cybercriminal stránek.
Přes různé metody, které autor chránit tělo Rustock.С (včetně chrániče, šifrátor a šifrovací klíč), přidávat rootkit společnosti Kaspersky Lab antivirové databáze nebyl problém. Zdá se, že ten, kdo vytvořil rootkit byl tak přesvědčený o jeho účinnosti, že se neprokázalo, že přikládáme velký význam ke zmaření antivirovou ochranu. Autor si klade za cíl měl dělat analýzu kódu tak složité, jak je to možné (jak pro antivirového softwaru a další autoři virů) a ke zvýšení času to bude trvat, což je přesně to, co všechny šifrovací technologie používané v rootkit byly navrženy tak, aby dělat.
Léčení systémových souborů infikovaných rootkit je poněkud problematické. Rootkit pracuje tím, že nakazí pouze Windows ovladače vyvinuté společností Microsoft, která spuštění při startu systému. To je, jak rootkit byl schopen převzít systém a skrýt svou přítomnost ve stejnou dobu. Původní ovladač, který byl napaden byl uložen v poslední části rootkit těla a byl také šifrované.
Algoritmus používaný rootkit k zašifrování těla řidiče, že nakažených se ukázalo být poměrně jednoduchý a není vázána na hardware počítače infikované v žádném případě. To nám umožnilo plně realizovat zjišťování a dezinfekce.
Rootkit byl klasifikován jako Virus.Win32.Rustock.a, protože Rustock je ve skutečnosti plně funkční soubor viru, který pracuje v režimu jádra.
Společnost Kaspersky Lab vydala postupy pro detekci a léčbu infikovaných souborů 20. května 2008 (8 dnů po výzkum na rootkit začal).
Detekce rootkitu, kdy je aktivní na infikovaný systém a léčbu infikovaných souborů je plně provedena v nové verzi antivirových produktů společnosti Kaspersky Lab - Kaspersky Anti-Virus 2009 a Kaspersky Internet Security 2009. Uživatelé jiných verzí lze skenovat jejich počítače pro Rustock pomocí záchranného disku pro libovolnou verzi antivirových produktů společnosti Kaspersky Lab. Mohou se také objevit a dezinfikovat podezřelé soubory za předpokladu, že infekce není aktivní na počítači.
Na tomto místě by se zdát, že problém byl vyřešen: rootkit byl poražen a jeho oběti získaly spolehlivé řešení pro detekci a odstranění hrozeb. Nicméně, i nadále hlavním nezodpovězené otázky: jak se šíří a Rustock to opravdu neexistuje 'v divočině'? To byla otázka cti pro nás všechny tečky i tím, hledání odpovědí na tyto otázky.
Za několik dní, byly všechny dostupné vzorky rootkit pečlivě analyzovány pro identifikaci jejich 'nastavení hardwaru'. To by nám alespoň nějakou představu o rozsahu, na kterém se šířil Rustock. Všechna data byla porovnána s daty, na nichž byla zjištěna každý vzorek.
Zjistili jsme, že 590 z 599 vzorků byl chycen u nás lákadla od září 10 do 23 listopadu 2007. A pouze devět byli chyceni v období od 23. listopadu 2007 do poloviny května 2008.
Tyto statistiky byly použity zúžit vyhledávání a zápas soubory ke čtyřem změnám v rootkit nám známé.
Tato analýza vedla k těmto výsledkům:
Modifikace | Detekce termíny | Outbreak období (y) | Počet souborů |
C1 | 10.09.2007 | Září 10-13, 2007 | 321 |
C2 | 26.září 2007 | 27. září - 9.10.2007; | 199 |
C3 | Od 9 do 10 10. 2007 | 9. října - 17, 2007; | 31 |
C4 | Od 9 do 10 10. 2007 | 9. října - 17, 2007; | 48 |
Č. Rustock okolnosti byly zjištěny v období od října 17 a 12.11.2007. Nicméně, byl nový dynamický nárůst zaznamenal ve své činnosti od listopadu 12 - 22 - většinou C2 modifikace (ze září 26) s menším počtem C3 a C4 úpravy.
23.listopadu 2007 ohlašoval začátek období několika měsíců, kdy byl Rustock neaktivní (nebo zmizel nadobro?).
Shromážděná data byla velmi užitečná, ale to zůstalo nejasné, v jakém rozsahu Rustock se rozšířila a jaké metody byly použity k distribuci. I přes veškeré úsilí, rootkit je 'kapátkem' zůstal neznámý.
Ale nakonec naše štěstí změnila. Našli jsme více než 500 dalších souborů z rootkit a dodávány všechny chybějící články řetězu.
Náš závěr, že aktivní distribuce Rustock začal 10. září, byla potvrzena roku 2007. Nyní víme, podrobně, jak a od které servery to bylo stažena a nainstalována na počítačích. Měli jsme také odpovědi na takové otázky jako: "Kde je kapátko" a "? Byli uživatelé antivirových produktů opravdu nechráněné proti nepolapitelný rootkit, která se rozšířila po dobu nejméně tří měsíců"
Bohužel, metody a kanály používané k distribuci Rustock vyvolat znepokojení mezi mnoha IT odborníků v oblasti bezpečnosti. Následující jména budou známá každý antivirus expert:
CoolWebSearch / IFrameBiz / Trafficadvance / LoadAdv.
Ano, jsme opět čelí jedné z best-known cybercriminal skupin na internetu, a výše uvedená jména jsou spojena s jeho internetových stránek a škodlivých programů. Gang existuje od počátku roku 2004, nebo déle, a je stále aktivní. Best-known a nejvíce rozšířená o skupiny výtvory byly takové trojské koně jako Harnig, Tibs, Femad, LoadAdv a různé úpravy Trojan-Downloader.Agent a malé, stejně jako nástřik Trojan.
Skupina byla vždy v čele inovací virus: oni byli první používat Trojan stahovači v CHM souborů ve velkém měřítku, bylo to na jejich serverech, že první varianty využije pro ANI a ICO zranitelnosti zpracování souborů byly nalezeny. Oni byli ti, používat trojské koně napsané v jazyce Java (Trojan-Downloader.Java.ClassLoader) a spustit skript pro módní stahovači.
'Znaky' skupiny IFrameBiz bývají domény v. Biz zóny a názvy souborů ve formátu *. exe loadadv.
Skupina může být stopován zpátky do Ruska, kde většina z jeho členů nepochybně žít. V raných fázích své existence značně skupiny používají hostování zdrojů v Petrohradě. Je také známo, že spolupracoval s nechvalně síť RBN (Rusko Business Network), který mnozí odborníci také spojují s městem.
Za čtyři roky své existence skupina vytvořil jeden z dnešních nejvýkonnějších systémů škodlivého programu distribuce. Jeho botnet, která zahrnuje miliony počítačů infikovaných s různými downloadery Trojan (především Tibs a Femad), lze instalovat žádný nový škodlivý program na infikovaných počítačích ve velmi krátké době. To je v současné době nejvíce životaschopnou alternativou k posílání e-mailem škodlivý kód, metoda, že antivirový průmysl již dávno naučil zacházet.
Botnet IFrameBiz je aktivně používá k distribuci nových škodlivých programů. Zákazníci platí na dobu, po kterou budou jejich Trojans být distribuovány prostřednictvím botnet. Pak trojské koně jsou staženy do počítače oběti. Je časté, že stejná downloader (např. Tibs) nainstalovat několik trojské koně z různých zákazníků. Tato služba je v poptávce, a zákazníci si nic ze své požadavky plněny ve stejnou dobu jako několik jiných příkazů klientů.
Služby nabízené IFrameBiz byly a jsou používány vývojáři mnoha adware programů, stejně jako ti, kteří chtějí vytvářet vlastní botnety, spammeři, DDoS útoku pachatele, atd. Chcete-li nakreslit souběžně s RBN, lze říci, že tento představuje hardware a technické části podniku autoři virů ', zatímco IFrameBiz je část programu, stejně jako výchozí bod pro mnoho škodlivých programů.
To bylo sice IFrameBiz, že autoři Rustock přiblížil v létě roku 2007 s cílem rozdělit jejich rootkit. Zcela nový modul byl vytvořen k distribuci přes kanály IFrameBiz rootkit. Toto může byli protože IFrameBiz trojské koně nebyli schopni aktivovat Rustock na uživatele systémů bez povšimnutí, nebo možná rootkit autoři chtěli, aby kód rootkit tajemství, aby se zabránilo dodavateli krást nápad nebo technologie.
Následující příklad popisuje, co se stalo na konci září 2007 na infikovaném počítači, který byl součástí botnetu IFrameBiz.
Downloader (pravděpodobně Tibs) nainstalovaný na systému připojí k jedné z botnet servery v zóně HK (tj., Chorvatsko - skupina začala používat domény v této zóně v roce 2007). A pokusí se soubor stáhnout loadadv351.exe.
Soubor je lepší modul pro stejný botnet - Trojan.Win32.Inject.mt podle klasifikace používané Kaspersky Lab. Název odráží to, co dělá škodlivý program: to píchne svůj kód do procesu Explorer.exe. Toto umožňuje obejít různé firewally a volně stahovat soubory do systému.
Trojan hlásí úspěšné instalaci IFrameBiz servery a přijímá objednávky z nich říká, že soubory, které by měly být staženy a odkud. Tyto zprávy také pracovat jako statistický systém druhů pro botnet, která umožňuje jeho majiteli, aby počet úspěšných škodlivého programu ke stažení a poskytovat zprávy o zákazníky.
Trojan ke stažení několik souborů z různých serverů - ať už od zákazníka serverů nebo z prostředků zákazníka na serverech IFrameBiz. V tomto případě jsou soubory načítány ze zdrojů zákazníka pronajaté od IFrameBiz (http:// *. biz / progs / *). Současně je informace o infikovaných počítačích, včetně operačního systému, pevného disku, atd., shromážděny a předány. Tyto informace jsou nezbytné pro stanovení botnet stavu, geografické rozdělení, atd.
Jako výsledek, několik nových souborů se objeví v systému. Máme zájem o dvě z nich: říkejme jim "1. exe 'a '2 exe.'.. Pro tuto chvíli se budeme soustředit na 1.EXE (se podíváme na 2.exe později).
Tento soubor je další downloader, i když poněkud mimořádný. Jeho první vzorek byl detekován Kaspersky Lab dne 10. září 2007, v den prvního Rustock varianty se objevili. S ohledem na skutečnosti popsané výše, je to sotva zvláštní náhoda. Od téhož dne, produktů společnosti Kaspersky Lab zjištěn tento downloader jako Trojan-Downloader.Win32.Agent.ddl.
Škodlivý program obsahuje ovladač, který se načte do jádra operačního systému (jinými slovy, máme co do činění s rootkit zde). Řidiče kód je šifrována pomocí sofistikované šifrovací algoritmus, který velmi hodně podobá algoritmus použitý pro šifrování Rustock.
Po odstranění všech vrstev ochrany od řidiče, se dostáváme k zajímavé části: tento downloader program pro Rustock není o nic méně 'mýtický' než rootkit sám.
Zatímco zvěsti o rootkit obíhal od prosince 2006, první a jediný čas downloader skutečná existence byla zmíněna byla na konci října 2007, téměř dva měsíce poté, co bylo detekovány a přidány do našeho antivirové databáze. Je překvapivé, že vzhledem k tomu, Rustock.C sám vyhnul antivirus výzkumníků, nikdo dal jeho downloader druhý myslel.
Nicméně, dokonce po Rustock.С byla zjištěna a hledání jeho 'kapátkem' by začaly, některé antivirové společnosti si myslel, že stačí jednoduše zjistit rootkit. Oni se neobtěžoval trávení času určování toho, jak rootkit našel cestu na počítačích uživatelů 'a zda uživatelé skutečně nechráněné proti nepolapitelný rootkit.
Náš výzkum přinesl odpovědi na obě tyto otázky. Jak 10.9.2007, tj. byl první den Rustock.C distribuovány prostřednictvím botnet IFrameBiz, Kaspersky Anti-Virus zjištěna jeho 'kapátkem' - Trojan-Downloader.Win32.Agent.ddl. Později, počet dodavatelů antivirového softwaru přidané Trojan podpis k jejich antivirové databáze.
Po dobu několika měsíců, mohlo počítačích uživatelů 'být chráněny pouze od nakažení nepolapitelný rootkit včasným odhalení jeho downloader.
Bohužel, i dnes (na počátku června 2008) některé antivirové produkty stále nemají odhalit Agent.ddl.
Jak jsme se zmínili dříve, Trojan se skládá ze dvou částí: těla a řidiče. Řidič shromažďuje následující informace o systému: výrobce identifikátory a model zařízení pro základní desku, a datum instalace a přesnou verzi operačního systému. Tato informace je pak zašifrována a odeslána na server autora Rustock (nebo zákazníkům): 208.66.194.215.
Bufferu obsah odeslána na server v šifrované (TEA), forma: TSC, Bridge0, Bridge1, InstallDate, verze, ProductID.
Server, ke kterému jsou data odeslána (208.66.194.215) je stejný jako pro rootkit je DLL (Spambot): to je zdroj spamy, které Rustock posílá. Avšak metody používané downloader řidič spolupracovat se serverem se liší od metody používané Spambot.
Řidič Agent.ddl pracuje s TCP / IP virtuální zařízení přímo z prsten 0, takže je nemožné zjistit odchozí provoz s použitím některých štěnicemi a / nebo firewally na počítačích s aktivní infekcí. Agent.ddl naváže spojení na portu 443, se snaží skrývat své datové pakety jako HTTPS. Jako výsledek, i když vědci zachytit provoz na bránu, ani si nemusí uvědomovat, že nejsou ve skutečnosti týkající se údajů o HTTPS, ale s šifrovaných dat shromážděných na infikovaný počítač.
Níže je uveden příklad paketu z infikovaného počítače, který byl přestrojený za data HTTPS:
Pokaždé, když řidič je vypuštěn, šifrovací klíč změní. Detekce je obtížnější, protože vnější pozorovatel neví, šifrovací algoritmus a klíč.
Je třeba poznamenat, že autoři downloader Trojan se snažil, aby život někdo pokoušet se studovat řidiče kód tak těžké, jak je to možné.
IP adresa centrálním serveru a číslo portu, na kterém řidič zjistí, spoje jsou kódovány v programu těla takovým způsobem, jako se skrýt svůj výslovný funkce:
push 00000BB01, přístav - 443
push 0E00C04E1
sub d, [esp], 00849C211, rozdíl se rovná 0xD7C242D0, tj. IP adresu
208.66.194.215
Autoři dělali hodně poplést jejich kód, stejně. Například, jednoduché ovládání
mov [eax], ecx
po zmatku se stává:
push ebx
mov ebx, 0x03451b8c
sub ebx, eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx
Jeden návod byl nahrazen sedm. Ano, můžete si představit, co zbytek je řidič líbí!
Pojďme se nyní vrátit do síťové komunikace. Škodlivý kód zaslaný paket s informací o infikovaný počítač k serveru. V reakci na přijatá data, server pravděpodobně poslal soubor, který byl speciálně kódována pro konkrétní stroj, s klíčem odpovídající hardware na počítači, ze kterého byl přijat paket.
To je, jak autoři vyřešit problém mimo analytiků zjištění, studiu a zahájení kapátka, které by odstranilo potřebu pro ně najít šifrovací klíč, aby mohl studovat rootkit kód.
Rootkit soubor, který byl vytvořen, je jeho 'čistý tělo', stažen do počítače oběti, kde Agent.ddl aktivuje.Rustock.C napadá jeho první systém řidiče, přidá ještě jeden počítač na nový spam botnet.
Server používá Rustock.C je v současné době zablokován. Všechny pakety které jí byly zaslány, jsou filtrovány směrovače. Mohlo by se zdát, že zákon-donucovací orgány jsou nyní při zájmu o tuto IP adresu, stejně.
Tato rekonstrukce událostí našich odborníků dokazuje, že rootkit je aktivně šíří od září do listopadu 2007. Využití sítě IFrameBiz by mohla zajistit, aby se stal opravdu rozšířené. Současně se skutečností popsaných výše vyplývá, že rootkit je prchavost bylo způsobeno pouze na vysoké úrovni šifrování svůj kód a použití mnoha anti-techniky ladění, které bránily jeho analýza většina expertů.
Antivirového softwaru měli rootkit, neboť se zdálo, 'v divočině'. Většina antivirových produktů, s několika málo výjimkami, za předpokladu, detekci jeho činnosti při jeho instalaci na systém a komponenty odpovědné za jeho instalaci a distribuci pro téměř jak dlouho. Mohlo by to být snadno blokovány z pronikání systému pomocí obyčejných nástrojů pro monitorování změn systému souborů.
Ačkoli toto bylo učiněno na Rustock mnohokrát, jeho kód není podrobně analyzovány do května 2008.
Rustock.С opravdu existuje, není to mýtus. Ale rootkit je prchavost je mýtický: to není kvůli žádné mimořádné schopnosti maskování, ale je založena na zvěsti, které se objevily na konci roku 2006 a který jen hrál do rukou nebezpečného programu autorů.
Jakékoliv rootkit vytvořené stávajících detekčních schopností v mysli bude vyhýbat ochranná opatření stanovená těmito systémy. Warfare na úrovni jádra přijde na otázku, kdo převezme první - rootkit nebo anti-rootkit řešení.
Cílem autora je Rustock nebylo vytvořit nezjistitelné rootkit, ale udělat analýzu rootkit tak složité, jak je to možné poté, co byly odhaleny. To by zajistilo, že existuje určitá časová prodleva mezi začátkem rootkit distribuční a jeho detekci antivirových řešení.
Pouze jedna otázka zůstává: proč autor Rustock zastavit zlepšení rootkit a uvolnění nové varianty v polovině října 2007? Mohl by to znamenat, že nový projekt byl zahájen, a že již existuje 'Rustock.D' někde?
Nemáme odpověď na tuto otázku, ale co to může dopadat být, jediný škodlivý program, a to i ten, který zůstal nezjištěný pro několik měsíců, nemá vliv na celkové podmínky vyznačuje tisíce dalších škodlivých programů objevují každý den a úspěšně neutralizuje antivirového průmyslu.
Zatímco Internet je stále domovem IFrameBiz a jiných podobných skupin, které distribuují stovky nových škodlivých programů každý den, hack řada internetových stránek a organizovat desítky epidemie, není tam žádný bod v radují na lokalizované vítězství.
PS jsme psali výše, že Trojan.Win32.Inject.mt nainstalované dva soubory v systému - 1.EXE a 2.exe - ale my jsme diskutovali o povaze druhého souboru.
Toto byla varianta Sinowal, špionážní Trojan. Stejný Sinowal, který se stal hlavy pro antivirové společnosti do dvou měsíců po událostech popsaných v tomto článku a který se stal známý jako 'bootkit'.
Oba Rustock a Sinowal byly distribuovány ve stejnou dobu a přes stejný botnet. Nové varianty Rustock zastavil objevit se v střední-říjen 2007. První vzorky 'bootkit' byly zjištěny o měsíc později, v listopadu 2007.
Je to také jen náhoda? Můžeme zjistit nějaký den.