Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

Podczas szukania rozwiązania problemu technicznego, opisanego wcześniej, eksperci próbowali również znaleźć plik, który zainstalował rootkita w systemie, ponieważ pomogłoby to nie tylko przyspieszyć proces analizy kodu rootkita, ale również ustalić źródła rozprzestrzeniania rootkita Rustock.C.

W wyniku badania znaleziono 599 plików rootkita Rustock.C. Niektóre z nich stanowiły tak zwane czyste ciało rootkita, inne były zainfekowanymi sterownikami systemowymi. W rzeczywistości wszystkie pliki były wynikiem polimorficznych zmian dokonanych w tym samym kodzie.

Kiedy stworzono rootkita?

Eksperci mieli więc sześćset plików różnych rozmiarów, które zostały schwytane w pułapki w innym czasie. Wszystkie te pliki zostały zebrane w okresie od 10 września 2007 roku do 14 maja 2008 roku. Wyprzedzając trochę opis zdarzeń, można w tym miejscu powiedzieć, że nigdy nie znaleźli próbek rootkita Rustock.C, które zostały stworzone przed wrześniem 2007 roku. Możliwe, że wcześniej powstało kilka wariantów dla celów testowych. Jednak rootkit, który Dr.Web określa jako Ntldrbot, z pewnością pochodzi z września 2007 roku.

A co z pogłoskami o rootkicie Rustock.C, jakie krążyły pod koniec 2006 roku? Kaspersky Lab uważa, że w tym czasie Rustock.C jeszcze nie istniał. Został stworzony prawdopodobnie w odpowiedzi na histerię, jaka towarzyszyła poszukiwaniu go. Świadczy o tym fakt, że nazwa szkodliwego programu zawarta w kodzie rootkita brzmi "Rustock.C". Nazwa ta różni się od tych, które autor nadał wariantom Rustock.A i B ('spambot' plus numer wersji). Nazwa Rustock została nadana przez firmę Symantec pierwszym wariantom rootkita pochodzącym z 2005 i 2006 roku. Takiej nazwy użyli badacze rootkitów, a "nieuchwytny" rootkit otrzymał nazwę Rustock.C poprzez analogię do znanych wariantów Rustock.A i .B. Być może autor nadał tę nazwę nowemu rootkitowi, aby potwierdzić, że pogłoski o jego istnieniu są prawdziwe.

Niezależnie od tego, jak było naprawdę, pierwsze "działające" próbki rootkita Rustock.C pojawiły się we wrześniu 2007 roku, a jego rozwój rozpoczął się kilka miesięcy wcześniej.

Modyfikacje

Analiza 599 dostępnych plików ujawniła wiele faktów, które wcześniej nie były znane.

Eksperci zidentyfikowali cztery modyfikacje rootkita Rustock.C. Wariant C1 pojawił się 10 września 2007 roku. "Czyste ciało" rootkita ma rozmiar od 244 440 do 244 512 bajtów i zawiera sterownik oraz DLL. Taką modyfikację zbadali eksperci z firmy Dr.Web i zaprezentowali innym producentom antywirusowym. Wariant C2 pojawił się 26 września. Jego rozmiar wynosi od 158 432 do 158 464 bajtów. Warianty C3 i C4 zostały stworzone 9 i 10 października 2007 roku. Ich rozmiar waha się od 158 400 do 158 496 bajtów.

Mimo że modyfikacja C1 jest o prawie 100 KB większa niż te, które pojawiły się później, pomiędzy nią a innymi modyfikacjami nie widać dużych różnic. Autor zoptymalizował tylko algorytm zaciemniana dla ciała rootkita. Kod DLL (spambot) niewiele różni się w poszczególnych wariantach.

Spambot

Analiza rootkita zajęła ekspertom pięć dni: został on całkowicie rozpakowany i wykonany na wirtualnych maszynach (mimo że Kaspersky Lab nie posiadało "droppera"). Pozwoliło to uzyskać dostęp do kodu DLL (spambot), którego ochrona i utrzymanie jest głównym celem rootkita Rustock.C.

Podczas swojego działania rootkit wypakowuje ze swojego ciała bibliotekę DLL i wykonuje ją w pamięci systemu, wstrzykując ją do procesu winlogon.exe. Biblioteka DLL istnieje tylko w pamięci RAM i nigdy nie jest obecna na dysku twardym w postaci pliku. Jej celem jest wysyłanie spamu z zainfekowanego komputera. Aby wykonać to zadanie, łączy się z serwerem pod adresem 208.66.194.215 i otrzymuje od niego szablony wiadomości. Adres IP należy do amerykańskiego dostawcy usług hostingowych MCCOLO, którego zasoby od dłuższego czasu były wykorzystywane do rozprzestrzeniania szkodliwych programów i utrzymywania stron cyberprzestępczych.