Oh, hi! Опасный вирус-руткит Win32.Ntldrbot: эксклюзивный комментарий для читателей TechnoDrive!..
На головную страницу TechnoDrive.ru  
ИТ-НОВОСТИ РОСТОВА
одна из 21539 страниц...

Опасный вирус-руткит Win32.Ntldrbot: эксклюзивный комментарий для читателей TechnoDrive!..

руткит Win32.Ntldrbot Rustock.C alexander tereshkin Александр Терешкин Invisible Things LAbВ последнее время, одним из основных направлений развития вредносных программ стало применение в них всевозможных способов маскировки от антивирусных средств. Руткиты становятся все более изощренными, их уже применяют хакеры. Вирусы нового поколения очень опасны, — и выявлять их очень трудно, если не сказать больше. Об одном таком, еще недавно мифическом (и неопределяемом) рутките пойдет речь в сегодняшней статье. Что же касается методов борьбы с подобными вредоносными программами, то ведущие эксперты международной лаборатории Invisible Things Lab, опрошенные ТехноДрайвом, считают существующие подходы обнаружения и лечения по-прежнему неэффективными. Однако, надежду на избавление от угрозы руткитов дают последние исследования компании «Доктор Веб»...

Реклама: строим надёжные локальные сети для бизнеса.

Rootkit (руткит, от англ. root — «корень» и kit — «набор») — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путем сокрытия файлов, процессов, а также самого факта присутствия (Wikipedia).

Ботнеты. Для того чтобы понять, о чем пойдет речь дальше, необходимо ознакомиться с некоторыми терминами, один из них — ботнет. По данным все той же Wikipedia, ботнет или бот-сеть (англ. botnet) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета скрытно устанавливается на компьютере жертвы и позволяет злоумышленнику выполнять некие действия, эксплуатируя ПО и ресурсы зараженного компьютера. Как правило, ботнеты используются для нелегальной или несанкционированной деятельности — рассылки спама, перебора паролей в удаленной системе, атак на отказ в обслуживании и многого другого.

(Выражаясь проще, внедрение бота на вашем ПК делает его послушным воле хакера. Который будет рассылать за ваш счет спам или «ломать» другие серверы — БЗ)

Компания SecureWorks провела исследование наиболее крупных бот-сетей, занимающихся рассылкой спама. Нас же интересует только один из них, а именно Rustock, который занимает третье место в этом своеобразном рейтинге. Краткая информация по ботнету выглядит так:

  • Предполагаемое количество зараженных машин — порядка 150 000;
  • Способность ботнета рассылать спам — порядка 30 миллиардов сообщений в день;
  • Наличие руткит-составляющей — да.

Взросление Rustock. Название Rustock придумали специалисты антивирусной компании Symantec, и оно так понравилось автору вредоносного кода, что в дальнейшем он стал его использовать. Изначально в первых версиях руткита можно было встретить такую строку: Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb. В последующих кроме строки с использованием spambot появилась строка Rustock rootkit v 1.2.

Принято считать и делить поколения данного руткита на три «возрастные группы» (A, B, C). Это не совсем верно, так как автор постоянно экспериментировал и изменял код, методы перехвата функций и улучшал стабильность, но в целом кардинальных изменений за одну версию не вносил. На самом деле ситуацию с «версионностью» руткита достаточно просто отследить.

В конце 2005 — начале 2006 года появились первые бета-версии Rustock.A на которых обкатывались технологии. Отличить их можно по названиям драйверов: i386.sys, sysbus32. Для скрытия себя в системе использовался перехват системной таблицы вызовов (SSDT) и перехват IRP-пакетов.

Далее появилась полноценная версия Rustock.A — pe386.sys (версия 1.0), которая отличалась от первых версий техниками скрытия себя в системе. Прежде всего, автор отказался от SSDT и перехватил прерывание 0x2E (Windows 2000) и MSR_SYSENTER(Windows XP+). Для скрытия файла на диске были использованы ADS (Alternate Data Stream). Данная технология поддерживается на файловой системе NTFS. Тело руткита находилось в %SystemRoot%\system32:[случайный_набор_цифр].

В том же 2006 году появилась бета-версия Rustock.B (huy32.sys), а сразу за ней полноценная версия Rustock.B — lzx32.sys (версия 1.2), в которой использовались перехваты INT2E/MSR_SYSENTER, ADS (%Windir%\System32:lzx32.sys). Кроме всего прочего, автор добавил перехват функций сетевых драйверов: tcpip.sys, wanarp.sys и ndis.sys, который позволял ему обходить фаерволы и прятать спам-трафик.

Также были выпущены варианты с урезанным функционалом, варианты, которые восстанавливали перехваты в случае их обнаружения и снятия антируткитами или антивирусами, а также различные варианты со случайными именами драйверов.

Некоторые антивирусные вендоры, например TrendMicro, выложили в своих вирусных библиотеках описание Rustock.C, но после проверки этот экземпляр оказался очередной экспериментальной версией Rustock.B.

Rustock.C. Первые слухи о Rustock.C появились летом 2006 года. Тогда же его начали искать как антивирусные лаборатории, так и вирусописатели. Антивирусные лаборатории искали для того, чтобы проанализировать и улучшить свои методы обнаружения руткитов, — а вирусописатели просто для того, чтобы наворовать чужих идей и встроить в свои вредоносные программы защиту и методы сокрытия «попрактичнее».

Шло время, а образец то ли не находился, то ли времени на его анализ у антивирусных лабораторий не хватало, ведь ежедневно приходится иметь дело с тысячами файлов. Официальных подтверждений или опровержений так и не появилось, были лишь какие-то разговоры на различных форумах. Многие вендоры предпочли «откреститься» от C-варианта и заняли позицию: «Ну, раз мы его не видим/не нашли, значит он не существует. Это миф!», или: «Давайте еще вспомним Rustock.С, который где-то живет, а его никто не видит и видеть не может».

Но оказалось, что Rustock.C не миф. Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло всего полтора года, и Rustock.C был найден в начале 2008 года. Все это время он работал, рассылал спам.

Службой вирусного мониторинга компании «Доктор Веб» было обнаружено порядка 600 экземпляров данного руткита, сколько их существует на самом деле неизвестно. Дата сборки большинства — сентябрь или октябрь 2007 года. На распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров вирусные аналитики «Доктор Веб» потратили несколько недель.

Даже если предположить, что руткит работает с октября 2007 года совершенно невидимо для антивирусов, можно сделать выводы о громадном количестве паразитного трафика который он разослал. Спам превратился в серьезную общемировую проблему, с которой приходится бороться каждый день. Пользователи жалуются на утечку трафика, их личные почтовые ящики переполнены совершенно ненужной и раздражающей информацией. Теряется время, тратятся деньги, расходуются нервы. То, что у Rustock.C было столько времени действовать безнаказанно, не рискуя быть пойманным антивирусом, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.

Некоторые технические характеристики руткита. Rustock.C имеет мощный полиморфный протектор, затрудняющий анализ и распаковку. Он реализован в виде драйвера уровня ядра, то есть работает на самом низком уровне. Также вредоносный код имеет функцию самозащиты, противодействует модификации времени исполнения, активно противодействует отладке: контролирует установку аппаратных точек останова (DR-регистры) и нарушает работу отладчиков уровня ядра: Syser, SoftIce. При этом отладчик WinDbg при активном рутките не работает вообще.

По оценкам аналитиков «Доктор Веб», Rustock.C перехватывает системные функции неклассическим методом. В их числе NtCreateThread, NtDelayExecution, NtDuplicateObject, NtOpenThread, NtProtectVirtualMemory, NtQuerySystemInformation, NtReadVirtualMemory, NtResumeThread, NtTerminateProcess, NtTerminateThread и NtWriteVirtualMemory. Руткит работает как файловый вирус, заражая системные драйверы. Его конкретный экземпляр привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.

Кроме того, Rustock.C имеет функцию «перезаражения», срабатывающую по времени. Старый зараженный файл при «перезаражении» излечивается. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один, — а также фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. На фоне этого, вредоносный код имеет защиту от антируткитов и включает библиотеку, внедряемую в один из системных процессов ОС Windows. Данная библиотека занимается рассылкой спама. Для связи драйвера с DLL используется специальный механизм передачи команд.

Выводы. Сразу после обнаружения этого руткита вирусописателями следует ожидать всплеск подобных технологий и внедрение их во вредоносные программы.

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не лечит зараженные им системные файлы. Тем, кто не является пользователем данного продукта, рекомендуется скачать бесплатную лечащую утилиту Dr.Web CureIt! и произвести проверку компьютера.

Закончить статью хотелось бы фразой, которая стала популярной в 90-х годах. Сегодня она посвящается автору Rustock: «Все что может быть запущено, может быть сломано».

Вячеслав Русаков


вирусный аналитик компании «Доктор Веб»


P.S. Данная публикация не осталась без внимания других антивирусных разработчиков. В частности, сотрудник «Лаборатории Касперского» Виталий Камлюк опубликовал собственный материал, посвященный зомби-сетям.

Кроме того, эксперт международной лаборатории Invisible Things Lab Александр Терешкин в эксклюзивном комментарии для TechnoDrive отметил, что на данный момент невозможно предложить сколько-нибудь эффективное решение проблемы руткитов, просто создавая антируткиты. «Ведь имеющиеся антируткиты и антивирусы требуют постоянного обновления для успешной борьбы с новыми руткитами. А так называемые проактивные защиты не спасают пользователей от вредоносного кода, использующего уязвимости ОС». Напомним, что полгода назад специалисты ITL рассказали ростовчанам про еще одну потенциальную угрозу для компьютеров будущего.

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

«Вирус, троян да хакер»: защита информации

Бизнесу РФ предложили сверхнадёжную ИТ-защиту без ущерба бюджету


В цифровую эпоху обеспечение кибербезопасности является важнейшей задачей для любого предприятия (даже если оно об этом не знает). Однако поставить надёжный заслон злоумышленникам, — от предотвращения DDoS-атак до борьбы с растущими угрозами со стороны инсайдеров, — могут только настоящие профессионалы. Которые постоянно отслеживают уловки киберпреступников по всему миру и вырабатывают эффективные меры противодействия. Но к кому обратиться?
подробнее

Безопасный Wi-Fi — российским детям!


Бесплатный доступ Wi-Fi сегодня можно встретить повсеместно — в аэропортах, гостиницах, парках, ресторанах, кинотеатрах, банках, торговых центрах и десятках других общественных мест. Это действительно полезно, удобно и практично!.. Однако некоторые владельцы публичных сетей ещё забывают о необходимости обязательной фильтрации контента, — пользователями которых, весьма вероятно, могут оказаться несовершеннолетние. В частности, по информации Роскомнадзора, за 10 месяцев текущего года в России выявлены 314 общедоступных сетей Wi-Fi, не блокировавших «взрослый» контент. По данным фактам возбуждены административные дела, а нарушителям выписаны штрафы.
подробнее

«Ростелеком» защитил бизнес своего клиента от мощнейшей DDoS-атаки


Атаки типа «отказ в обслуживании» (DDoS) являются распространённым инструментов киберпреступников. Ведь бороться с ними на уровне компаний весьма затруднительно, а порой невозможно. Здесь требуется профессиональная защита на уровне магистральных сетей, — например, реализуемая компанией «Ростелеком». Одним из недавних достижений национального оператора стало успешное детектирование и противостояние DDoS-атаке мощностью 450 Гбит/с — крупнейшей за историю работы защитного сервиса. При этом, «Ростелекому» удалось не только эффективно отразить нападение на сеть клиента, но и полностью сохранить работоспособность его инфраструктуры в течение всей атаки.
подробнее

Олимпиада по криптографии для детей: откройте свои суперталанты


Математика и криптография являются одними из старейших наук*, — однако, несмотря на возраст, они лежат в основе суперсовременных ИКТ. Спрос на профессионалов в данных областях колоссален, а поиск будущих специалистов начинается буквально со школьной скамьи. Одним из действенных механизмов такого поиска, безусловно, являются олимпиады по математике и криптографии, проводимые в нашей стране. Ближайшая из них стартует уже на этой неделе — 1 ноября!.. Попробовать свои силы в отборочном онлайн-туре может любой желающий, а самые талантливые участники получат шанс заявить о себе в финале и в перспективе найти действительно престижную работу.
подробнее

Опыт пользователей из Ростова: как ломают аккаунты в социалках?


Можно сделать всё, но ваш аккаунт в социальной сети всё равно взломают. На эту мысль наводит нестандартная атака методом социального инжиниринга, под которую попали и пользователи из Ростова-на-Дону. Впрочем, владельцам учётных записей в современных интернет-сервисах не стоит впадать в отчаяние — грамотная конфигурация соответствующих служб, а также бережное отношение к своим персональным данным и гаджетам способны минимизировать описанную проблему. Подробности — в эксклюзивном обзоре TechnoDrive.ru
подробнее
Ещё информация !!!  «Вирус, троян да хакер»: защита информации