Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

W grudniu 2006 roku wśród badaczy rootkitów (zarówno czarnych, jak i białych kapeluszy), rozeszły się pogłoski o tym, że ktoś stworzył i wypuścił "całkowicie niewykrywalnego" rootkita, znanego jako Rustock.C, którego nie można wykryć na komputerach, na których jest aktywny, przy pomocy żadnego istniejącego rozwiązana do zwalczania wirusów czy rootkitów.

Długie poszukiwania "mitycznego rootkita" okazały się bezowocne. W rezultacie, wszelkie informacje o rootkicie Rustock.C traktowane były w kręgach badaczy rootkitów jak żart. Sytuacja ta trwała do maja 2008 roku.

Diagnoza "lekarska"

Na początku maja rosyjska firma Dr.Web poinformowała społeczność antywirusową, że ich eksperci wykryli nowego rootkita o nazwie Ntldrbot, znanego również jako Rustock.C. Wiadomość ta była równie nieprzyjemna co sensacyjna.

Według firmy Dr.Web, rootkit uniknął schwytania przez producentów antywirusowych od października 2007 roku. Pojawiły się głosy, że Rustock.C został wykorzystany do stworzenia jednej z największych dzisiaj sieci zombie służącej do rozsyłania spamu. Dr.Web powoływał się również na badanie przeprowadzone przez Secure Works, według którego botnet stworzony przy użyciu rootkita Rustock stanowił trzecią pod względem wielkości sieć zombie, zdolną do rozesłania w ciągu jednego dnia nawet do 30 bilionów wiadomości spamowych. Jednak szacunki Secure Works nie mogły mieć nic wspólnego z nowo wykrytym rootkitem, ponieważ aż do maja 2008 roku był on nieznany. Eksperci Secure Works mieli najprawdopodobniej na myśli botnet stworzony przy użyciu wcześniejszych wariantów rootkita Rustock - A oraz B (Trojan-Clicker.Win32.Costrat i SpamTool.Win32.Mailbot, według klasyfikacji firmy Kaspersky Lab).

Z informacji opublikowanych przez firmę Dr.Web wynika, że jej eksperci zdobyli próbkę prawdziwego rootkita Rustock.C pod koniec marca 2008 roku. Ponad miesiąc zajęło im analizowanie kodu rootkita, stworzenie i opublikowanie narzędzi umożliwiających wykrywanie i leczenie. Inne firmy antywirusowe zostały poinformowane o wynikach dopiero później.

Stworzony przez firmę Dr.Web opis rootkita pozostawiał zbyt wiele pytań bez odpowiedzi. Po pierwsze, nie było jasne, w jaki sposób i kiedy rozprzestrzenił się rootkit i dlaczego od października 2007 roku nikt nie zdołał go wykryć.

Rozpowszechnianą przez firmę Dr.Web próbką kodu rootkita był sterownik Windows o rozmiarze 244 448 bajtów. Niestety brakowało tak zwanego droppera, tj. pliku służącego do instalowania rootkita w systemie. Gdyby został dostarczony, bardzo ułatwiłby pracę laboratorium antywirusowego, polegającą na analizowaniu rootkita i opracowywaniu procedur wykrywania i leczenia rootkita Rustock.C. Ponadto mógłby pomóc wyjaśnić, w jaki sposób został rozprzestrzeniony ten rootkit.

Nie pojawiły się żadne wiarygodne informacje dotyczące występowania rootkita "na wolności". Równie dobrze Rustock.C mógł być jedynie okazem w kolekcji jakiegoś "zbieracza" i nie był rozprzestrzeniany, co wyjaśniałoby, dlaczego znalezienie go zajęło tak dużo czasu.

Analiza laboratoryjna

2 maja firma Kaspersky Lab rozpoczęła analizę kodu rootkita. Zadanie było trudne, ponieważ cały kod rootkita został zaszyfrowany przy pomocy nieznanej metody i nie mógł zostać zanalizowany przy pomocy zwykłej analizy skompresowanego kodu oraz technik emulacji. Sytuacje komplikował dodatkowo fakt, że każdy plik rootkita posiadał pewien rodzaj połączenia sprzętowego z zainfekowanym komputerem i nie mógł być wykonany ani analizowany na innych komputerach czy wirtualnych maszynach. Jednak eksperci z Kaspersky Lab złamali klucz i odszyfrowali większość ciała rootkita. Wieczorem 14 maja można było oglądać fragmenty prawdziwego kodu rootkita Rustock.C.