Rustock C byl fámou, ale pak se objevil doopravdy

24. 7. 2008

Sdílet

Protože tento rootkit tak dlouho unikal odhalení antivirových firem, podařilo se mu zatím údajně vytvořit obrovský botnet, snad dokonce třetí největší na světě vůbec. S pomocí tohoto botnetu má být každý den rozesíláno 30 miliard spamových zpráv.

Již v roce 2006 se začaly objevovat první informace o rootkitu Rustock.С, který měl být neodhalitelný pomocí stávajících bezpečnostních programů. Ve skutečnosti se ale žádné konkrétní informace o tomto rootkitu ani samotný rootkit nepodařilo objevit – na počátku mohlo jít o vtip, posléze zřejmě o klasický varovný spam.
Letos v květnu oznámila ruská společnost Dr.Web, že její odborníci zachytili rootkit Ntldrbot, což má být ve skutečnosti „legendární“ Rustock.С. Tato informace vyvolala překvapení. Údaje, které společnost zveřejnila, byly hrozivé. Protože tento rootkit tak dlouho unikal odhalení antivirových firem, podařilo se mu zatím údajně vytvořit obrovský botnet, snad dokonce třetí největší na světě vůbec. S pomocí tohoto botnetu má být každý den rozesíláno 30 miliard spamových zpráv. Existovala i možnost, že tento botnet byl vytvořen staršími verzemi rootkitu Rustock, A a B (Trojan-Clicker.Win32.Costrat a SpamTool.Win32.Mailbot).
Společnost Dr.Web poskytla odborníkům vzorek rootkitu. Jednalo se o ovladač Windows o velikosti 244 448 B. Nicméně nebyl zveřejněn dropper, tedy program, který by měl rootkit do systému nainstalovat. Navíc stále chyběla jakákoliv informace, že by rootkit byl někde zachycen v oběhu.
Společnost Kaspersky Lab provedla hloubkovou analýzu kódu rootkitu a dostala se k vlastnímu tělu programu (které bylo chráněno zašifrováním). Na tomto základě došla ke zjištění, že Rustock.C byl skutečně vytvořen ve druhé polovině loňského roku, zřejmě až jako reakce na původní (nepotvrzenou) zprávu.
Rootkit po svém spuštění ze sebe extrahuje knihovnu DLL, která běží v rámci paměti systému v procesu winlogon.exe. Neexistuje v podobě souboru, pouze v RAM, a má se spouštět na virtuálním stroji, a proto nevyžaduje ani dropper. Umí se spojit se serverem (208.66.194.215) a přijímá odtud pokyny. Způsoby šíření rootkitu, velikost eventuálního botnetu a tvůrci kódu nejsou v tuto chvíli přesně známi, ale šetření dále probíhá.
Společnost Kaspersky Lab na základě analýzy kódu Rustock.С ale prohlásila, že nevidí důvod, proč by tento rootkit nemohl být přidán do standardní antimalwarové databáze; a to i přesto, že jeho autoři postupovali sofistikovaně a snažili se detekci svého výtvoru co nejvíce znesnadnit.

Zdroj: Viruslist.com

Viz také:
Routery Cisco se dočkaly rootkitu
Microsoft vyrazil do boje proti rootkitům

Autor článku