Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

Downloader

Trojan składa się z dwóch komponentów: ciała i sterownika. Sterownik zbiera następujące informacje o systemie: identyfikatory producenta, model urządzenia dla płyty głównej, jak również datę instalacji i dokładną wersję systemu operacyjnego. Informacje te są następnie szyfrowane i wysyłane do serwera autora Rustocka (lub jego klientów): 208.66.194.215.

Serwer, do którego wysyłane są dane (208.66.194.215), jest tym samym, który został wykorzystany dla biblioteki DLL rootkita (spambot): jest to źródło wiadomości spamowych wysyłanych przez Rustocka. Jednak metoda stosowana przez sterownik downloadera w celu interakcji z serwerem jest inna niż metoda wykorzystywana przez spambot.
Sterownik Agent.ddl działa bezpośrednio z wirtualnym narzędziem TCP/IP, z pierścienia 0, uniemożliwiając wykrywanie ruchu wychodzącego przy użyciu pewnych programów nadsłuchujących i/lub zapór sieciowych na komputerach z aktywnymi infekcjami. Agent.ddl ustanawia połączenie na porcie 443, próbując zamaskować swoje dane jako pakiety HTTPS. W rezultacie, nawet gdy badacze przechwycą ruch na bramie, mogą nie wiedzieć, że w rzeczywistości nie mają do czynienia z danymi HTTPS, ale z zaszyfrowanymi danymi zebranymi na zainfekowanym komputerze.

Wraz z każdym uruchomieniem sterownika zmienia się klucz szyfrowania. Wykrywanie zostaje utrudnione, ponieważ zewnętrzny obserwator nie zna algorytmu i klucza szyfrowania. Należy wspomnieć, że autorzy trojana downloadera próbowali utrudnić życie każdemu, kto chciał zbadać kod sterownika tak bardzo jak to możliwe.

Adres IP serwera centralnego oraz numer portu, na którym sterownik ustanawia połączenia, są zakodowane w ciele programu w taki sposób, aby ukrywały swoją funkcję:

push 00000BB01 ; port – 443
push 0E00C04E1
sub d,[esp],00849C211; różnica to 0xD7C242D0, czyli adres IP
208.66.194.215

Autorzy włożyli również wiele wysiłku w zaciemnienie swojego kodu. Na przykład prosta operacja:

mov [eax], ecx

po zaciemnieniu wygląda następująco:

push ebx
mov ebx, 0x03451b8c
sub ebx,eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx

Jedno polecenie zostało zastąpione siedmioma. Można więc sobie wyobrazić, jak wygląda reszta sterownika!