Rustock

Soudě podle informací zveřejněných Dr.Web, společnosti odborníků získal vzorek skutečné Rustock.С koncem března 2008 a trvalo jim to přes měsíc analyzovat rootkit kód a vytvářet a nástroje umožňující jeho detekce a léčba. Jiné antivirové společnosti bylo oznámeno po tomto zjištění.

Popis rootkit připravené Dr.Web levé příliš mnoho otázek nezodpovězených. V první řadě, to bylo úplně jasné, jak a kdy se rootkit šíří a proč nikdo zjistí, že od října 2007.

Vzorek rootkit těla distribuovaný Dr.Web bylo 244.448-byte Windows ovladače.

Bohužel, takzvaný kapátko, tj. soubor navržený pro instalaci rootkit o systému, chyběl. Pokud by byla poskytnuta, může mít tento soubor značně zjednodušené práce prováděné jiné antivirové laboratoře k analýze rootkit a vytvořit postupy pro detekci a léčbu Rustock.С. Mohlo by to také pomohlo objasnit, jak se původně rootkit šíří.

Tam byl také žádné spolehlivé informace o existenci rootkit 'v divočině'. Tam zůstala možnost, že Rustock.С není nic víc než 'sběratelská položka' a byl ještě rozšířen, což by vysvětlovalo dlouhou dobu, že to vzal ji najít.

V každém případě, první 'provozní' vzorky Rustock.С se objevil v září 2007 a jeho vývoj začal zřejmě několik měsíců před tím.

Varianta C1 je datován 10.9.2007. Rootkit je 'čisté tělo' je 244.440 až 244.512 bytů ve velikosti a obsahuje ovladače a DLL. To byla změna studoval Dr.Web odborníků a byly předloženy další antivirového softwaru.

Varianta C2 je datován 26. září. To je mezi 158.432 a 158.464 bytů.

Varianty C3 a C4 byly vytvořeny 9. října a 10, 2007. Jejich velikost se pohybuje od 158.400 do 158.496 bytů.

Ačkoli modifikace C1 je téměř 100 kilobajtů větší než ty, které následovalo, nejsou tam žádné zásadní rozdíly mezi tímto a dalšími úpravami. Autor pouze optimalizované zmatek algoritmus pro rootkit tělo. DLL kód (Spambot) se mírně odlišuje od varianty k variantě.

Algoritmus používaný rootkit k zašifrování těla řidiče, že nakažených se ukázalo být poměrně jednoduchý a není vázána na hardware počítače infikované v žádném případě. To nám umožnilo plně realizovat zjišťování a dezinfekce.

Rootkit byl klasifikován jako Virus.Win32.Rustock.a, protože Rustock je ve skutečnosti plně funkční soubor viru, který pracuje v režimu jádra.

Společnost Kaspersky Lab vydala postupy pro detekci a léčbu infikovaných souborů 20. května 2008 (8 dnů po výzkum na rootkit začal).

Detekce rootkitu, kdy je aktivní na infikovaný systém a léčbu infikovaných souborů je plně provedena v nové verzi antivirových produktů společnosti Kaspersky Lab - Kaspersky Anti-Virus 2009 a Kaspersky Internet Security 2009. Uživatelé jiných verzí lze skenovat jejich počítače pro Rustock pomocí záchranného disku pro libovolnou verzi antivirových produktů společnosti Kaspersky Lab. Mohou se také objevit a dezinfikovat podezřelé soubory za předpokladu, že infekce není aktivní na počítači.

Tyto statistiky byly použity zúžit vyhledávání a zápas soubory ke čtyřem změnám v rootkit nám známé.

Tato analýza vedla k těmto výsledkům:

Shromážděná data byla velmi užitečná, ale to zůstalo nejasné, v jakém rozsahu Rustock se rozšířila a jaké metody byly použity k distribuci. I přes veškeré úsilí, rootkit je 'kapátkem' zůstal neznámý.

Ale nakonec naše štěstí změnila. Našli jsme více než 500 dalších souborů z rootkit a dodávány všechny chybějící články řetězu.

CoolWebSearch / IFrameBiz / Trafficadvance / LoadAdv.

Ano, jsme opět čelí jedné z best-known cybercriminal skupin na internetu, a výše uvedená jména jsou spojena s jeho internetových stránek a škodlivých programů. Gang existuje od počátku roku 2004, nebo déle, a je stále aktivní. Best-known a nejvíce rozšířená o skupiny výtvory byly takové trojské koně jako Harnig, Tibs, Femad, LoadAdv a různé úpravy Trojan-Downloader.Agent a malé, stejně jako nástřik Trojan.

Skupina byla vždy v čele inovací virus: oni byli první používat Trojan stahovači v CHM souborů ve velkém měřítku, bylo to na jejich serverech, že první varianty využije pro ANI a ICO zranitelnosti zpracování souborů byly nalezeny. Oni byli ti, používat trojské koně napsané v jazyce Java (Trojan-Downloader.Java.ClassLoader) a spustit skript pro módní stahovači.

'Znaky' skupiny IFrameBiz bývají domény v. Biz zóny a názvy souborů ve formátu *. exe loadadv.

Skupina může být stopován zpátky do Ruska, kde většina z jeho členů nepochybně žít. V raných fázích své existence značně skupiny používají hostování zdrojů v Petrohradě. Je také známo, že spolupracoval s nechvalně síť RBN (Rusko Business Network), který mnozí odborníci také spojují s městem.

Za čtyři roky své existence skupina vytvořil jeden z dnešních nejvýkonnějších systémů škodlivého programu distribuce. Jeho botnet, která zahrnuje miliony počítačů infikovaných s různými downloadery Trojan (především Tibs a Femad), lze instalovat žádný nový škodlivý program na infikovaných počítačích ve velmi krátké době. To je v současné době nejvíce životaschopnou alternativou k posílání e-mailem škodlivý kód, metoda, že antivirový průmysl již dávno naučil zacházet.

Botnet IFrameBiz je aktivně používá k distribuci nových škodlivých programů. Zákazníci platí na dobu, po kterou budou jejich Trojans být distribuovány prostřednictvím botnet. Pak trojské koně jsou staženy do počítače oběti. Je časté, že stejná downloader (např. Tibs) nainstalovat několik trojské koně z různých zákazníků. Tato služba je v poptávce, a zákazníci si nic ze své požadavky plněny ve stejnou dobu jako několik jiných příkazů klientů.

Služby nabízené IFrameBiz byly a jsou používány vývojáři mnoha adware programů, stejně jako ti, kteří chtějí vytvářet vlastní botnety, spammeři, DDoS útoku pachatele, atd. Chcete-li nakreslit souběžně s RBN, lze říci, že tento představuje hardware a technické části podniku autoři virů ', zatímco IFrameBiz je část programu, stejně jako výchozí bod pro mnoho škodlivých programů.

To bylo sice IFrameBiz, že autoři Rustock přiblížil v létě roku 2007 s cílem rozdělit jejich rootkit. Zcela nový modul byl vytvořen k distribuci přes kanály IFrameBiz rootkit. Toto může byli protože IFrameBiz trojské koně nebyli schopni aktivovat Rustock na uživatele systémů bez povšimnutí, nebo možná rootkit autoři chtěli, aby kód rootkit tajemství, aby se zabránilo dodavateli krást nápad nebo technologie.

Soubor je lepší modul pro stejný botnet - Trojan.Win32.Inject.mt podle klasifikace používané Kaspersky Lab. Název odráží to, co dělá škodlivý program: to píchne svůj kód do procesu Explorer.exe. Toto umožňuje obejít různé firewally a volně stahovat soubory do systému.

Trojan hlásí úspěšné instalaci IFrameBiz servery a přijímá objednávky z nich říká, že soubory, které by měly být staženy a odkud. Tyto zprávy také pracovat jako statistický systém druhů pro botnet, která umožňuje jeho majiteli, aby počet úspěšných škodlivého programu ke stažení a poskytovat zprávy o zákazníky.

Trojan ke stažení několik souborů z různých serverů - ať už od zákazníka serverů nebo z prostředků zákazníka na serverech IFrameBiz. V tomto případě jsou soubory načítány ze zdrojů zákazníka pronajaté od IFrameBiz (http:// *. biz / progs / *). Současně je informace o infikovaných počítačích, včetně operačního systému, pevného disku, atd., shromážděny a předány. Tyto informace jsou nezbytné pro stanovení botnet stavu, geografické rozdělení, atd.

Jako výsledek, několik nových souborů se objeví v systému. Máme zájem o dvě z nich: říkejme jim "1. exe 'a '2 exe.'.. Pro tuto chvíli se budeme soustředit na 1.EXE (se podíváme na 2.exe později).

Tento soubor je další downloader, i když poněkud mimořádný. Jeho první vzorek byl detekován Kaspersky Lab dne 10. září 2007, v den prvního Rustock varianty se objevili. S ohledem na skutečnosti popsané výše, je to sotva zvláštní náhoda. Od téhož dne, produktů společnosti Kaspersky Lab zjištěn tento downloader jako Trojan-Downloader.Win32.Agent.ddl.

Škodlivý program obsahuje ovladač, který se načte do jádra operačního systému (jinými slovy, máme co do činění s rootkit zde). Řidiče kód je šifrována pomocí sofistikované šifrovací algoritmus, který velmi hodně podobá algoritmus použitý pro šifrování Rustock.

Po odstranění všech vrstev ochrany od řidiče, se dostáváme k zajímavé části: tento downloader program pro Rustock není o nic méně 'mýtický' než rootkit sám.

Náš výzkum přinesl odpovědi na obě tyto otázky. Jak 10.9.2007, tj. byl první den Rustock.C distribuovány prostřednictvím botnet IFrameBiz, Kaspersky Anti-Virus zjištěna jeho 'kapátkem' - Trojan-Downloader.Win32.Agent.ddl. Později, počet dodavatelů antivirového softwaru přidané Trojan podpis k jejich antivirové databáze.

Po dobu několika měsíců, mohlo počítačích uživatelů 'být chráněny pouze od nakažení nepolapitelný rootkit včasným odhalení jeho downloader.

Bohužel, i dnes (na počátku června 2008) některé antivirové produkty stále nemají odhalit Agent.ddl.

Níže je uveden příklad paketu z infikovaného počítače, který byl přestrojený za data HTTPS:

IP adresa centrálním serveru a číslo portu, na kterém řidič zjistí, spoje jsou kódovány v programu těla takovým způsobem, jako se skrýt svůj výslovný funkce:

To je, jak autoři vyřešit problém mimo analytiků zjištění, studiu a zahájení kapátka, které by odstranilo potřebu pro ně najít šifrovací klíč, aby mohl studovat rootkit kód.

Rootkit soubor, který byl vytvořen, je jeho 'čistý tělo', stažen do počítače oběti, kde Agent.ddl aktivuje.Rustock.C napadá jeho první systém řidiče, přidá ještě jeden počítač na nový spam botnet.

Server používá Rustock.C je v současné době zablokován. Všechny pakety které jí byly zaslány, jsou filtrovány směrovače. Mohlo by se zdát, že zákon-donucovací orgány jsou nyní při zájmu o tuto IP adresu, stejně.

Ačkoli toto bylo učiněno na Rustock mnohokrát, jeho kód není podrobně analyzovány do května 2008.

Rustock.С opravdu existuje, není to mýtus. Ale rootkit je prchavost je mýtický: to není kvůli žádné mimořádné schopnosti maskování, ale je založena na zvěsti, které se objevily na konci roku 2006 a který jen hrál do rukou nebezpečného programu autorů.

Jakékoliv rootkit vytvořené stávajících detekčních schopností v mysli bude vyhýbat ochranná opatření stanovená těmito systémy. Warfare na úrovni jádra přijde na otázku, kdo převezme první - rootkit nebo anti-rootkit řešení.

Cílem autora je Rustock nebylo vytvořit nezjistitelné rootkit, ale udělat analýzu rootkit tak složité, jak je to možné poté, co byly odhaleny. To by zajistilo, že existuje určitá časová prodleva mezi začátkem rootkit distribuční a jeho detekci antivirových řešení.

Pouze jedna otázka zůstává: proč autor Rustock zastavit zlepšení rootkit a uvolnění nové varianty v polovině října 2007? Mohl by to znamenat, že nový projekt byl zahájen, a že již existuje 'Rustock.D' někde?

Nemáme odpověď na tuto otázku, ale co to může dopadat být, jediný škodlivý program, a to i ten, který zůstal nezjištěný pro několik měsíců, nemá vliv na celkové podmínky vyznačuje tisíce dalších škodlivých programů objevují každý den a úspěšně neutralizuje antivirového průmyslu.

Zatímco Internet je stále domovem IFrameBiz a jiných podobných skupin, které distribuují stovky nových škodlivých programů každý den, hack řada internetových stránek a organizovat desítky epidemie, není tam žádný bod v radují na lokalizované vítězství.

PS jsme psali výše, že Trojan.Win32.Inject.mt nainstalované dva soubory v systému - 1.EXE a 2.exe - ale my jsme diskutovali o povaze druhého souboru.

Toto byla varianta Sinowal, špionážní Trojan. Stejný Sinowal, který se stal hlavy pro antivirové společnosti do dvou měsíců po událostech popsaných v tomto článku a který se stal známý jako 'bootkit'.

Oba Rustock a Sinowal byly distribuovány ve stejnou dobu a přes stejný botnet. Nové varianty Rustock zastavil objevit se v střední-říjen 2007. První vzorky 'bootkit' byly zjištěny o měsíc později, v listopadu 2007.

Je to také jen náhoda? Můžeme zjistit nějaký den.