Rootkita o nazwie Ntldrbot, który okazał się mitycznym Rustockiem, wykryła rosyjska firma Dr.Web. Po zaimplementowaniu wykrywania i leczenia aktywnych infekcji spowodowanych przez tego szkodnika eksperci zdali sobie jednak sprawę, że wiele pytań pozostało bez odpowiedzi.

Kaspersky Lab wziął się za dogłębną analizę kodu rootkita, co nie było łatwe, ponieważ został on zaszyfrowany przy pomocy nieznanej metody. Sytuację komplikował fakt, że każdy plik wirusa posiadał pewien rodzaj połączenia sprzętowego z zainfekowanym komputerem i nie mógł być wykonany ani analizowany na innych PC-tach.

Ekspertom udało się znaleźć 599 plików Rustocka. Niektóre z nich stanowiły tzw. czyste ciało rootkita, inne były zainfekowanymi sterownikami systemowymi. Okazało się przy tym, że najstarsze pochodziły z września 2007 roku. Co z pogłoskami, które pojawiły się niemal rok wcześniej? "Uważamy, że w tym czasie Rustock.C jeszcze nie istniał. Został stworzony prawdopodobnie w odpowiedzi na histerię, jaka towarzyszyła poszukiwaniu go" - tłumaczy Alexander Gostev.

O rozprzestrzenianie Rustocka eksperci podejrzewają jedną z najbardziej znanych grup cyberprzestępczych w internecie - IFrameBiz. W ciągu czterech lat swego istnienia grupa stworzyła jeden z najpotężniejszych obecnie systemów rozpowszechniania szkodliwych programów. Jej botnet składa się z milionów komputerów zainfekowanych różnymi trojanami downloaderami (należą do nich np. Tibs i Femad).

Przypuszcza się, że autor Rustocka złożył zamówienie na rozprzestrzenianie swojego rootkita za pośrednictwem botnetu IFrameBiz latem 2007 roku. Kaspersky Lab ustalił, że "dropperem" szkodnika był Trojan-Downloader.Win32.Agent.ddl. Przez kilka miesięcy komputery użytkowników mogły być chronione przed nieuchwytnym rootkitem jedynie poprzez niezwłoczne wykrycie jego downloadera. Niestety nawet w czerwcu bieżącego roku niektóre programy antywirusowe nadal tego nie robiły.

Rekonstrukcja zdarzeń dokonana przez Kaspersky Lab pokazuje, że rootkit rozprzestrzeniał się aktywnie od września do listopada 2007 roku. Powstaje pytanie: dlaczego autor Rustocka zaprzestał wypuszczania nowych wariantów szkodnika? Czy to znaczy, że rozpoczął nowy projekt i po sieci krąży już Rustock.D? Pełna treść artykułu, autorstwa starszego analityka wirusów Alexandra Gosteva, jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.