Компьютерра PDA N105 (02.04.2011-08.04.2011)
Шрифт:
В июле 2008 года с разницей в несколько дней Symantec отрапортовал о ещё двух разновидностях троянца - Rustock.A и Rustock.B, причём по поводу второй было заявлено, что она использует усовершенствованный руткит для установки себя в систему и сокрытия своего присутствия. Обе версии были способны рассылать спам с заражённого компьютера.
А потом появились слухи о Rustock.c.
Его очень долго не могли обнаружить. Настолько долго, что всё чаще звучали голоса: а не миф ли это, ваш Rustock.c? Может, его просто не существуют, а антивирусы гоняются за химерой?
"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой
Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.
Ещё один метод маскировки: Rustock.c то и дело "меняет партнёров". Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в "Доктор Веб", троян перехватывает системные функции "неклассическим методом". Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.
Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии "Лаборатории", распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.
"Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение, - сообщала "Лаборатория Касперского" в своё время.
– Однако либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для "заливки" по каналам IFrameBiz был создан совершенно отдельный модуль". Новый загрузчик "Антивирус Касперского" детектирует как Trojan-Downloader.Win32.Agent.ddl.
С тех пор, как пояснил "Компьютерре" Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено - доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock - это "обычный, непропатченный, старый компьютер домохозяйки из США", работающий под Windows XP (это единственная операционная система, которую он заражает).
Интересно, что Rustock.c паразитирует на других ботнетах. "Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, - говорит Голованов.
– Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера".
Пока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.
Вскоре Rustock
Оценки величины Rustock разнятся. В "Лаборатории Касперского" считают, что Rustock никогда не превращался в крупный ботнет. "Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев", - говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал "усыхать" в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.
Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах - до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? "Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит", - предположили тогда в Symantec.
Как выяснилось, и вправду следили...
Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.
Дело в том, что McColo предоставлял услуги так называемого "пуленепробиваемого хостинга": компания не задавала своим клиентам ненужных вопросов и не реагировала на жалобы. На McColo собралась живописнейшая компания: спамеры, распространители детской порнографии, фишеры и прочих "мерзавцев сотни три". Среди клиентов McColo всплыла даже Russian Business Network - полумифическая питерская фирма, которая также занималась криминальным бизнесом в киберпространстве, включая "пуленепробиваемый хостинг" со всяким "интересным" контентом. И, самое главное, на серверах McColo располагались контрольные центры ботнетов Mega-D, Srizbi, Pushdo, Warezov и нашего дорогого Rustock.
19 ноября 2008 года McColo, воспользовавшись соглашением о резервном копировании со шведским провайдером TeliaSonera, ненадолго вернулся в онлайн, но его тут же снова закрыли. Впрочем, судя по всему, этого времени хватило, чтобы перевести контрольные серверы ботнетов с тонущего хостера куда-то ещё.
Спустя несколько недель объёмы спама вернулись к прежним значениям.
В середине марта 2011 года, к вящему недоумению борцов с сетевыми напастями, ботнет Rustock заглох намертво. Его активность уже снижалась в рождественско-новогодний период, но затем он снова воспрял. Возникла масса пересудов на тему возможного возвращения ботнета в строй.
18 марта отдел по борьбе с киберпреступностью Microsoft объявил, что он совместно с правоохранительными органами США провёл операцию под кодовым названием b107, в результате которой ботнет Rustock был обезглавлен.
Операция против Rustock проводилась по той же схеме, что и более ранняя (и успешная) атака на ботнет Waledac. Первый этап был сугубо юридическим: владельцев ботнета Rustock обвинили в нарушении лицензионного соглашения Windows, поскольку Rustock делает возможным удалённый доступ к ОС Windows на заражённом компьютере, что категорически запрещено лицензией. Это ещё не всё: поступило обвинение и в нарушениях торговой марки (изрядная часть спама шла через Hotmail), и нарушении американского закона CAN-SPAM.