Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

Wykrywanie i leczenie

Mimo różnych metod wykorzystywanych przez autora rootkita Rustock.C w celu ochrony jego ciała (łącznie z programem szyfrującym i kluczem szyfrowania), rootkit został dodany do baz antywirusowych firmy Kaspersky Lab. Wygląda na to, że ktokolwiek stworzył tego rootkita, był tak pewny jego skuteczności, że nie przywiązywał zbytniej wagi do zabezpieczenia go przed ochroną antywirusową. Autor chciał utrudnić analizę kodu szkodnika (zarówno przez producentów antywirusowych, jak i innych twórców wirusów), przedłużyć czas potrzebny na taką analizę.

Leczenie plików systemowych zainfekowanych przez rootkita jest bardziej problematyczne. Działanie rootkita polega na infekowaniu wyłącznie sterowników Windows stworzonych przez firmę Microsoft, które uruchamiają się wraz ze startem systemu. Właśnie w ten sposób rootkit zdołał zarówno przejąć system, jak i ukryć swoją obecność. Pierwotny sterownik, który został zainfekowany, był przechowywany w ostatniej sekcji ciała rootkita i również był zaszyfrowany.

Algorytm wykorzystywany przez rootkita do szyfrowania zainfekowanego przez siebie sterownika okazał się dość prosty i w żaden sposób nie był związany ze sprzętem zainfekowanego komputera. Dzięki temu eksperci mogli zaimplementować wykrywanie i leczenie.

Rootkit ten został sklasyfikowany jako Virus.Win32.Rustock.a, ponieważ w rzeczywistości jest on w pełni funkcjonalnym wirusem plikowym działającym w trybie jądra.

Kaspersky Lab opublikował procedury wykrywania i leczenia zainfekowanych plików 20 maja 2008 roku.

Rozprzestrzenianie Rustocka

Przez kilka dni wszystkie dostępne próbki rootkita były dokładnie analizowane w celu zidentyfikowania ich "ustawień sprzętowych". W ten sposób eksperci mogli mniej więcej określić, na jaką skalę został rozprzestrzeniony Rustock. Dane te zostały porównane z datami wykrycia każdej z tych próbek.

W okresie od 10 września do 23 listopada 2007 roku znaleziono 599 próbek, z czego 590 zostało przechwyconych przez pułapki, a 9 uzyskano w okresie od 23 listopada 2007 do połowy maja 2008 roku.
Statystyki te posłużyły ekspertom do zawężenia poszukiwań i porównania plików z czterema modyfikacjami znanego rootkita.

W okresie od 17 października 2007 do 12 listopada 2007 roku nie wykryto żadnego rootkita Rustock. Jednak w okresie od 12 do 22 listopada nastąpił nowy wzrost aktywności, która dotyczyła głównie modyfikacji C2 (która pojawiła się 26 września), w mniejszym zaś stopniu modyfikacji C3 i C4.

Od 23 listopada 2007 roku Rustock był przez kilka miesięcy nieaktywny (lub zniknął na dobre?).

Zebrane dane okazały się bardzo użyteczne, wciąż jednak nie było jasne, na jaką skalę rozprzestrzeniał się Rustock, ani też jakie metody zostały użyte w celu jego dystrybucji. Mimo całego wysiłku nie udało się zidentyfikować "droppera" rootkita.

W końcu jednak Kaspersky Lab znalazł ponad 500 dodatkowych plików rootkita, które stanowiły wszystkie brakujące ogniwa w łańcuchu.