Rootkit Rustock.C: rozwiązanie zagadki
2008-07-28 13:37
Przeczytaj także: Rootkity zastępujące MBR dysku
Rekonstrukcja zdarzeń
Poniższy przykład pokazuje, co zdarzyło się pod koniec września 2007 roku na zainfekowanym komputerze, który stanowił część botnetu IFrameBiz.
Downloader (prawdopodobnie Tibs) zainstalowany w systemie łączy się z jednym z serwerów botnetu w strefie .hk (tj. Chorwacja - grupa ta zaczęła wykorzystywać domeny w tej strefie w 2007 roku) i próbuje pobierać plik loadadv351.exe.
Plik ten jest ulepszonym modułem tego samego botnetu - Trojan.Win32.Inject.mt zgodnie z klasyfikacją stosowaną przez firmę Kaspersky Lab. Nazwa odzwierciedla działanie tego szkodliwego programu: wstrzykiwanie swojego kodu do procesu Explorer.exe. Dzięki temu trojan może obejść wiele różnych zapór sieciowych i bez ograniczeń pobierać pliki do systemu.
Trojan przesyła raporty o pomyślnej instalacji do serwerów IFrameBiz i otrzymuje od nich polecenia, mówiące mu, które pliki powinny zostać pobrane i skąd. Raporty te pełnią również funkcję systemu statystycznego rodzajów dla botnetu, pozwalając ich właścicielom na śledzenie liczby pomyślnych pobrań szkodliwych programów i dostarczanie raportów klientom.
Trojan pobiera kilka plików z różnych serwerów - z serwerów klienta lub z zasobów klienta na serwerach IFrameBiz. W takim przypadku, pliki są ładowane z zasobów klienta wydzierżawionych od IFrameBiz (http:// *.biz/progs/*). Jednocześnie zbierane są i wysyłane informacje o zainfekowanym komputerze, łącznie z systemem operacyjnym, dyskiem twardym itd. Informacje te są niezbędne w celu określenia statusu botnetu, jego dystrybucji geograficznej itd.
W rezultacie, w systemie pojawia się kilka nowych plików. Interesujące są szczególnie dwa z nich: nazwijmy je '1.exe' i '2.exe'. Na razie opisany zostanie plik 1.exe (plikowi 2.exe przyjrzymy się później).
Plik ten jest kolejnym downloaderem, aczkolwiek raczej niezwykłym. Jego pierwsza próbka została wykryta przez Kaspersky Lab 10 września 2007 roku, w dniu, w którym pojawiły się pierwsze warianty Rustocka. W świetle faktów opisanych wyżej, trudno nazwać to dziwnym zbiegiem okoliczności. Od tego samego dnia produkty Kaspersky Lab wykrywały tego downloadera jako Trojan-Downloader.Win32.Agent.ddl.
fot. mat. prasowe
Po usunięciu wszystkich warstw ochrony ze sterownika, ukazuje się interesująca część: downloader dla Rustocka jest nie mniej "mityczny" niż sam rootkit.
Brakujące ogniwo
10 września 2007 roku, tj. pierwszego dnia, w którym Rustock.C został rozprzestrzeniony za pośrednictwem botnetu IFrameBiz, oprogramowanie Kaspersky Anti-Virus wykryło jego "droppera": był to Trojan-Downloader.Win32.Agent.ddl. Następnie wielu producentów antywirusowych dodało sygnaturę tego trojana do swoich antywirusowych baz danych.
Przez kilka miesięcy komputery użytkowników mogły być chronione przed infekcją nieuchwytnego rootkita jedynie poprzez niezwłoczne wykrycie jego downloadera.
Przeczytaj także:
![Jak wirusy ukrywają się przed antywirusem?]( "Jak wirusy ukrywają się przed antywirusem?")
Jak wirusy ukrywają się przed antywirusem?
Jak wirusy ukrywają się przed antywirusem?
oprac. : eGospodarka.pl
Więcej na ten temat:
Rootkity, rootkit, złośliwy kod, cyberprzestępcy, złośliwe programy, botnet, sieci zombie, rustock, Rustock.C
Nowy etap osiedla Slow City w sprzedaży
