Rootkit Rustock.C: rozwiązanie zagadki
2008-07-28 13:37
Przeczytaj także: Rootkity zastępujące MBR dysku
Downloader
Trojan składa się z dwóch komponentów: ciała i sterownika. Sterownik zbiera następujące informacje o systemie: identyfikatory producenta, model urządzenia dla płyty głównej, jak również datę instalacji i dokładną wersję systemu operacyjnego. Informacje te są następnie szyfrowane i wysyłane do serwera autora Rustocka (lub jego klientów): 208.66.194.215.
Serwer, do którego wysyłane są dane (208.66.194.215), jest tym samym, który został wykorzystany dla biblioteki DLL rootkita (spambot): jest to źródło wiadomości spamowych wysyłanych przez Rustocka. Jednak metoda stosowana przez sterownik downloadera w celu interakcji z serwerem jest inna niż metoda wykorzystywana przez spambot.
fot. mat. prasowe
Przykład pakietu z zainfekowanej maszyny, który został zamaskowany jako dane HTTPS
Przykład pakietu z zainfekowanej maszyny, który został zamaskowany jako dane HTTPS
Wraz z każdym uruchomieniem sterownika zmienia się klucz szyfrowania. Wykrywanie zostaje utrudnione, ponieważ zewnętrzny obserwator nie zna algorytmu i klucza szyfrowania. Należy wspomnieć, że autorzy trojana downloadera próbowali utrudnić życie każdemu, kto chciał zbadać kod sterownika tak bardzo jak to możliwe.
Adres IP serwera centralnego oraz numer portu, na którym sterownik ustanawia połączenia, są zakodowane w ciele programu w taki sposób, aby ukrywały swoją funkcję:
push 00000BB01 ; port – 443
push 0E00C04E1
sub d,[esp],00849C211; różnica to 0xD7C242D0, czyli adres IP
208.66.194.215
Autorzy włożyli również wiele wysiłku w zaciemnienie swojego kodu. Na przykład prosta operacja:
mov [eax], ecx
po zaciemnieniu wygląda następująco:
push ebx
mov ebx, 0x03451b8c
sub ebx,eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx
Jedno polecenie zostało zastąpione siedmioma. Można więc sobie wyobrazić, jak wygląda reszta sterownika!
Jak wirusy ukrywają się przed antywirusem?
oprac. : eGospodarka.pl
Przeczytaj także
-
![Znaczny rozwój sieci botnet w II kw. 2009]( "Znaczny rozwój sieci botnet w II kw. 2009 [© Scanrail - Fotolia.com]")
Znaczny rozwój sieci botnet w II kw. 2009
-
![Wirusy i ataki sieciowe X-XII 2005]( "Wirusy i ataki sieciowe X-XII 2005 [© Scanrail - Fotolia.com]")
Wirusy i ataki sieciowe X-XII 2005
-
![Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce]( "Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce")
Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce
-
![Cyberwłamania ze wzrostem o ponad 100%. Ransomware na topie]( "Cyberwłamania ze wzrostem o ponad 100%. Ransomware na topie [© Andrey Popov - Fotolia.com]")
Cyberwłamania ze wzrostem o ponad 100%. Ransomware na topie
-
![Ransomware bardziej przerażający niż inne cyberataki]( "Ransomware bardziej przerażający niż inne cyberataki [© zimmytws - Fotolia.com]")
Ransomware bardziej przerażający niż inne cyberataki
-
![Ransomware to biznes. Jak się chronić?]( "Ransomware to biznes. Jak się chronić?")
Ransomware to biznes. Jak się chronić?
-
![Cyberbezpieczeństwo: ransomware uderza w polski sektor edukacji i badań]( "Cyberbezpieczeństwo: ransomware uderza w polski sektor edukacji i badań [© tonsnoei - Fotolia.com]")
Cyberbezpieczeństwo: ransomware uderza w polski sektor edukacji i badań
-
![7 sposobów na ataki ransomware. Poradnik przedsiębiorcy]( "7 sposobów na ataki ransomware. Poradnik przedsiębiorcy")
7 sposobów na ataki ransomware. Poradnik przedsiębiorcy
-
![Złośliwe oprogramowanie. Ransomware uderza w dyski NAS]( "Złośliwe oprogramowanie. Ransomware uderza w dyski NAS")
Złośliwe oprogramowanie. Ransomware uderza w dyski NAS
Augustowska Vita na wrocławskich Maślicach w sprzedaży
