Śledztwo w sprawie nieuchwytnego rootkita

21-07-2008, 09:38

W grudniu 2006 roku wśród ekspertów bezpieczeństwa IT rozeszły się pogłoski o powstaniu "całkowicie niewykrywalnego" rootkita, określonego jako Rustock.C. Jego poszukiwania długo nie dawały rezultatów - wirusa wykryto dopiero w maju 2008 roku. Na stronach Kaspersky Lab pojawił się artykuł na temat przeprowadzonego wtedy niemal detektywistycznego śledztwa z wykorzystaniem najbardziej zaawansowanych technik.

Rootkita o nazwie Ntldrbot, który okazał się mitycznym Rustockiem, wykryła rosyjska firma Dr.Web. Po zaimplementowaniu wykrywania i leczenia aktywnych infekcji spowodowanych przez tego szkodnika eksperci zdali sobie jednak sprawę, że wiele pytań pozostało bez odpowiedzi.

Kaspersky Lab wziął się za dogłębną analizę kodu rootkita, co nie było łatwe, ponieważ został on zaszyfrowany przy pomocy nieznanej metody. Sytuację komplikował fakt, że każdy plik wirusa posiadał pewien rodzaj połączenia sprzętowego z zainfekowanym komputerem i nie mógł być wykonany ani analizowany na innych PC-tach.

Ekspertom udało się znaleźć 599 plików Rustocka. Niektóre z nich stanowiły tzw. czyste ciało rootkita, inne były zainfekowanymi sterownikami systemowymi. Okazało się przy tym, że najstarsze pochodziły z września 2007 roku. Co z pogłoskami, które pojawiły się niemal rok wcześniej? "Uważamy, że w tym czasie Rustock.C jeszcze nie istniał. Został stworzony prawdopodobnie w odpowiedzi na histerię, jaka towarzyszyła poszukiwaniu go" - tłumaczy Alexander Gostev.

O rozprzestrzenianie Rustocka eksperci podejrzewają jedną z najbardziej znanych grup cyberprzestępczych w internecie - IFrameBiz. W ciągu czterech lat swego istnienia grupa stworzyła jeden z najpotężniejszych obecnie systemów rozpowszechniania szkodliwych programów. Jej botnet składa się z milionów komputerów zainfekowanych różnymi trojanami downloaderami (należą do nich np. Tibs i Femad).

Przypuszcza się, że autor Rustocka złożył zamówienie na rozprzestrzenianie swojego rootkita za pośrednictwem botnetu IFrameBiz latem 2007 roku. Kaspersky Lab ustalił, że "dropperem" szkodnika był Trojan-Downloader.Win32.Agent.ddl. Przez kilka miesięcy komputery użytkowników mogły być chronione przed nieuchwytnym rootkitem jedynie poprzez niezwłoczne wykrycie jego downloadera. Niestety nawet w czerwcu bieżącego roku niektóre programy antywirusowe nadal tego nie robiły.

Rekonstrukcja zdarzeń dokonana przez Kaspersky Lab pokazuje, że rootkit rozprzestrzeniał się aktywnie od września do listopada 2007 roku. Powstaje pytanie: dlaczego autor Rustocka zaprzestał wypuszczania nowych wariantów szkodnika? Czy to znaczy, że rozpoczął nowy projekt i po sieci krąży już Rustock.D? Pełna treść artykułu, autorstwa starszego analityka wirusów Alexandra Gosteva, jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.


Następny artykuł » zamknij

Tematy pokrewne:  

tag trojanytag rootkitytag Kaspersky Labtag śledztwa
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031