Архив метки: Rustock.C

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C

 

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

 

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама.

 

Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит (rootkit) предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений.

 

Rootkit (руткит, от англ. root – “корень” и kit – “набор”) — программа или набор программ, позволяющие компьютерному злоумышленнику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого факта присутствия.

 

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии.

 

В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

 

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу “нет жертвы — нет преступления” большинство антивирусных вендоров заняло такую позицию: “Раз даже мы его не видим (не нашли), значит он не существует. Это миф!”

 

Но оказалось, что Win32.Ntldrbot не миф.

 

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании “Доктор Веб” в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

 

Службой вирусного мониторинга компании “Доктор Веб” обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

 

То, что у Win32.Ntldrbot было столько времени действовать безнаказанно, означает, что никто не даст гарантии, что и ваша машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.

 

 

На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не лечит зараженные им системные файлы.

 

По материалам отчета Вячеслава Русакова —

вирусного аналитика компании "Доктор Веб"

___

 

Полностью отчет можно скачать здесь >>>

Сам я не первый год пользуюсь антивирусом Dr.Web — очень доволен.

 

Павел Селёдкин, selyodkin@yandex.ru