На головную страницу TechnoDrive.ru  
Безлимитный спутниковый Интернет (Ростовская область)
ИТ-НОВОСТИ РОСТОВА
одна из 21149 страниц...

Опасный вирус-руткит Win32.Ntldrbot: эксклюзивный комментарий для читателей TechnoDrive!..

руткит Win32.Ntldrbot Rustock.C alexander tereshkin Александр Терешкин Invisible Things LAbВ последнее время, одним из основных направлений развития вредносных программ стало применение в них всевозможных способов маскировки от антивирусных средств. Руткиты становятся все более изощренными, их уже применяют хакеры. Вирусы нового поколения очень опасны, — и выявлять их очень трудно, если не сказать больше. Об одном таком, еще недавно мифическом (и неопределяемом) рутките пойдет речь в сегодняшней статье. Что же касается методов борьбы с подобными вредоносными программами, то ведущие эксперты международной лаборатории Invisible Things Lab, опрошенные ТехноДрайвом, считают существующие подходы обнаружения и лечения по-прежнему неэффективными. Однако, надежду на избавление от угрозы руткитов дают последние исследования компании «Доктор Веб»...

Реклама: строим надёжные локальные сети для бизнеса.

Rootkit (руткит, от англ. root — «корень» и kit — «набор») — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путем сокрытия файлов, процессов, а также самого факта присутствия (Wikipedia).

Ботнеты. Для того чтобы понять, о чем пойдет речь дальше, необходимо ознакомиться с некоторыми терминами, один из них — ботнет. По данным все той же Wikipedia, ботнет или бот-сеть (англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета скрытно устанавливается на компьютере жертвы и позволяет злоумышленнику выполнять некие действия, эксплуатируя ПО и ресурсы зараженного компьютера. Как правило, ботнеты используются для нелегальной или несанкционированной деятельности — рассылки спама, перебора паролей в удаленной системе, атак на отказ в обслуживании и многого другого.

(Выражаясь проще, внедрение бота на вашем ПК делает его послушным воле хакера. Который будет рассылать за ваш счет спам или «ломать» другие серверы — БЗ)

Компания SecureWorks провела исследование наиболее крупных бот-сетей, занимающихся рассылкой спама. Нас же интересует только один из них, а именно Rustock, который занимает третье место в этом своеобразном рейтинге. Краткая информация по ботнету выглядит так:

  • Предполагаемое количество зараженных машин — порядка 150 000;
  • Способность ботнета рассылать спам — порядка 30 миллиардов сообщений в день;
  • Наличие руткит-составляющей — да.

Взросление Rustock. Название Rustock придумали специалисты антивирусной компании Symantec, и оно так понравилось автору вредоносного кода, что в дальнейшем он стал его использовать. Изначально в первых версиях руткита можно было встретить такую строку: Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb. В последующих кроме строки с использованием spambot появилась строка Rustock rootkit v 1.2.

Принято считать и делить поколения данного руткита на три «возрастные группы» (A, B, C). Это не совсем верно, так как автор постоянно экспериментировал и изменял код, методы перехвата функций и улучшал стабильность, но в целом кардинальных изменений за одну версию не вносил. На самом деле ситуацию с «версионностью» руткита достаточно просто отследить.

В конце 2005 — начале 2006 года появились первые бета-версии Rustock.A на которых обкатывались технологии. Отличить их можно по названиям драйверов: i386.sys, sysbus32. Для скрытия себя в системе использовался перехват системной таблицы вызовов (SSDT) и перехват IRP-пакетов.

Далее появилась полноценная версия Rustock.A — pe386.sys (версия 1.0), которая отличалась от первых версий техниками скрытия себя в системе. Прежде всего, автор отказался от SSDT и перехватил прерывание 0x2E (Windows 2000) и MSR_SYSENTER(Windows XP+). Для скрытия файла на диске были использованы ADS (Alternate Data Stream). Данная технология поддерживается на файловой системе NTFS. Тело руткита находилось в %SystemRoot%\system32:[случайный_набор_цифр].

В том же 2006 году появилась бета-версия Rustock.B (huy32.sys), а сразу за ней полноценная версия Rustock.B — lzx32.sys (версия 1.2), в которой использовались перехваты INT2E/MSR_SYSENTER, ADS (%Windir%\System32:lzx32.sys). Кроме всего прочего, автор добавил перехват функций сетевых драйверов: tcpip.sys, wanarp.sys и ndis.sys, который позволял ему обходить фаерволы и прятать спам-трафик.

Также были выпущены варианты с урезанным функционалом, варианты, которые восстанавливали перехваты в случае их обнаружения и снятия антируткитами или антивирусами, а также различные варианты со случайными именами драйверов.

Некоторые антивирусные вендоры, например TrendMicro, выложили в своих вирусных библиотеках описание Rustock.C, но после проверки этот экземпляр оказался очередной экспериментальной версией Rustock.B.

Rustock.C. Первые слухи о Rustock.C появились летом 2006 года. Тогда же его начали искать как антивирусные лаборатории, так и вирусописатели. Антивирусные лаборатории искали для того, чтобы проанализировать и улучшить свои методы обнаружения руткитов, — а вирусописатели просто для того, чтобы наворовать чужих идей и встроить в свои вредоносные программы защиту и методы сокрытия «попрактичнее».

Шло время, а образец то ли не находился, то ли времени на его анализ у антивирусных лабораторий не хватало, ведь ежедневно приходится иметь дело с тысячами файлов. Официальных подтверждений или опровержений так и не появилось, были лишь какие-то разговоры на различных форумах. Многие вендоры предпочли «откреститься» от C-варианта и заняли позицию: «Ну, раз мы его не видим/не нашли, значит он не существует. Это миф!», или: «Давайте еще вспомним Rustock.С, который где-то живет, а его никто не видит и видеть не может».

Но оказалось, что Rustock.C не миф. Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло всего полтора года, и Rustock.C был найден в начале 2008 года. Все это время он работал, рассылал спам.

Службой вирусного мониторинга компании «Доктор Веб» было обнаружено порядка 600 экземпляров данного руткита, сколько их существует на самом деле неизвестно. Дата сборки большинства — сентябрь или октябрь 2007 года. На распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров вирусные аналитики «Доктор Веб» потратили несколько недель.

Даже если предположить, что руткит работает с октября 2007 года совершенно невидимо для антивирусов, можно сделать выводы о громадном количестве паразитного трафика который он разослал. Спам превратился в серьезную общемировую проблему, с которой приходится бороться каждый день. Пользователи жалуются на утечку трафика, их личные почтовые ящики переполнены совершенно ненужной и раздражающей информацией. Теряется время, тратятся деньги, расходуются нервы. То, что у Rustock.C было столько времени действовать безнаказанно, не рискуя быть пойманным антивирусом, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.

Некоторые технические характеристики руткита. Rustock.C имеет мощный полиморфный протектор, затрудняющий анализ и распаковку. Он реализован в виде драйвера уровня ядра, то есть работает на самом низком уровне. Также вредоносный код имеет функцию самозащиты, противодействует модификации времени исполнения, активно противодействует отладке: контролирует установку аппаратных точек останова (DR-регистры) и нарушает работу отладчиков уровня ядра: Syser, SoftIce. При этом отладчик WinDbg при активном рутките не работает вообще.

По оценкам аналитиков «Доктор Веб», Rustock.C перехватывает системные функции неклассическим методом. В их числе NtCreateThread, NtDelayExecution, NtDuplicateObject, NtOpenThread, NtProtectVirtualMemory, NtQuerySystemInformation, NtReadVirtualMemory, NtResumeThread, NtTerminateProcess, NtTerminateThread и NtWriteVirtualMemory. Руткит работает как файловый вирус, заражая системные драйверы. Его конкретный экземпляр привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.

Кроме того, Rustock.C имеет функцию «перезаражения», срабатывающую по времени. Старый зараженный файл при «перезаражении» излечивается. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один, — а также фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. На фоне этого, вредоносный код имеет защиту от антируткитов и включает библиотеку, внедряемую в один из системных процессов ОС Windows. Данная библиотека занимается рассылкой спама. Для связи драйвера с DLL используется специальный механизм передачи команд.

Выводы. Сразу после обнаружения этого руткита вирусописателями следует ожидать всплеск подобных технологий и внедрение их во вредоносные программы.

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не лечит зараженные им системные файлы. Тем, кто не является пользователем данного продукта, рекомендуется скачать бесплатную лечащую утилиту Dr.Web CureIt! и произвести проверку компьютера.

Закончить статью хотелось бы фразой, которая стала популярной в 90-х годах. Сегодня она посвящается автору Rustock: «Все что может быть запущено, может быть сломано».

Вячеслав Русаков


вирусный аналитик компании «Доктор Веб»


P.S. Данная публикация не осталась без внимания других антивирусных разработчиков. В частности, сотрудник «Лаборатории Касперского» Виталий Камлюк опубликовал собственный материал, посвященный зомби-сетям.

Кроме того, эксперт международной лаборатории Invisible Things Lab Александр Терешкин в эксклюзивном комментарии для TechnoDrive отметил, что на данный момент невозможно предложить сколько-нибудь эффективное решение проблемы руткитов, просто создавая антируткиты. «Ведь имеющиеся антируткиты и антивирусы требуют постоянного обновления для успешной борьбы с новыми руткитами. А так называемые проактивные защиты не спасают пользователей от вредоносного кода, использующего уязвимости ОС». Напомним, что полгода назад специалисты ITL рассказали ростовчанам про еще одну потенциальную угрозу для компьютеров будущего.

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

«Вирус, троян да хакер»: защита информации

Рюкзак Korin берётся обеспечить физическую охрану электроники


Можно спорить о том, что безопаснее, Android или iOS. Ещё перспективнее — дебаты о трекерах и куках, правах приложений, частоте обновлений ОС, доверию к «облакам»... Но всё меркнет тогда, когда смартфон или планшет украден или потерян. Оптимисты могут попробовать найти устройство удалённо или хотя бы стереть свои личные данные, но лучше всего решить проблему заранее. Купите «антикражный» рюкзак Korin!
подробнее

Видеонаблюдение за домом или гаражом стало невероятно простым!


Как известно, «лучше 1 раз увидеть, чем слышать постоянно срабатывающую сигнализацию». Действительно, без видеозаписи или свидетелей можно сколько угодно строить предположения, но так и не узнать правду! «Ростелеком» представляет новую услугу «Видеонаблюдение», которая поможет дистанционно контролировать происходящее у вас дома из любой точки мира. Услуга представляет собой удобное решение под ключ, очень простое в использовании. Установить и настроить камеру можно самостоятельно!
подробнее

Очередной вирус в роутере добрался до Ростова


Эксперты по IT-безопасности всё чаще предупреждают о смещении вектора кибератак в сторону Интернета вещей. Причём от «образцово-показательных» одиночных заражений холодильников, электронных сигарет и аквариумов злоумышленники перешли к массовым атакам и созданию ботнетов из роутеров, камер видеонаблюдения, смартфонов и так далее. Насколько это опасно можно судить по IoT-вирусу Mirai, парализовавшему Twitter, PayPal и ряд других глобальных интерент-сервисов в прошлом году. А недавно о массовом заражении роутеров TP-Link и ZyXel сообщил один из альтернативных ростовских интернет-провайдеров.
подробнее

Эксперты расскажут, как попытаться устранить угрозу Intel ME


Вирусы, атакующие компьютерное «железо», становятся всё более угрожающими. И, действительно, подобные зловреды часто остаются совершенно незамеченными, — а популярное «лечение» переустановкой ОС, естественно, бессильно. Ещё в 2012 году эксперт по ИТ-безопасности Джонатан Броссар рассказал об уязвимости CMOS и BIOS перед вирусом Rakshasa, способном заразить сотни популярных моделей материнских плат. С тех пор ситуация не только не улучшилась, но и усугубилась. В частности, специалисты компании Positive Technologies обнаружили новые серьёзные уязвимости в технологии Intel Management Engine, интегрированной в микросхему PCH. В результате, данный чип, отвечающий за общение процессора с внешними устройствами, может открыть злоумышленникам доступ практически ко всем данным на компьютере и выполнить любой вредоносный код. К счастью, помимо опасной находки, Positive Technologies выявила способ отключения опасных функций Intel ME — и готова поделиться им со всеми желающими на бесплатном вебинаре!
подробнее

На уязвимости Интернета вещей (IoT) укажет приложение-сканер


Возможности Интернета вещей в целом, — и «умных домов» в частности, — продолжают удивлять. Уже сегодня к глобальной сети могут подключаться не только телевизоры, холодильники, системы климат-контроля и электронные замки, но даже зубные щётки, подушки и мышеловки. При этом интерфейсы большинства smart-устройств достаточно уязвимы к деструктивным действиям злоумышленников. А непосредственный контакт с человеком, — например, в случае «умной кровати», — делает последствия потенциального взлома крайне опасными и непредсказуемыми... К счастью, эксперты в области ИТ-безопасности уже активно работают над защитой Интернета вещей и предлагают эффективные решения. Одним из таких продуктов стал IoT-сканер, разработанный «Лабораторией Касперского», бета-версию которого уже можно скачать на Google Play, — сделав первый шаг по защите Интернета вещей от хакеров.
подробнее
Ещё информация !!!  «Вирус, троян да хакер»: защита информации