Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

Wróćmy teraz do komunikacji sieciowej. Szkodliwy kod wysyłał do serwera pakiet z informacjami o zainfekowanym komputerze. W odpowiedzi na otrzymane dane serwer prawdopodobnie wysłał plik, który został specjalnie zaszyfrowany dla określonej maszyny, z kluczem pasującym do sprzętu komputera, z którego otrzymano pakiet. W ten sposób autorzy rozwiązali problem wykrycia, zbadania i uruchomienia droppera przez zewnętrznych analityków, dzięki czemu nie musieliby znajdować klucza szyfrowania w celu zbadania kodu rootkita.

Wygenerowany plik rootkita, jego "czyste ciało", jest pobierany na atakowaną maszynę, na której jest uruchamiany przez trojana Agent.ddl. Rustock.C infekuje swój pierwszy sterownik systemowy, dodając kolejny komputer do nowego botnetu spamowego. Serwer wykorzystywany przez rootkita Rustock.C jest teraz zablokowany. Wszystkie wysyłane do niego pakiety są filtrowane przez routery sieciowe. Wydaje się, że organy ścigania interesują się teraz również tym adresem IP.

Wnioski

Rekonstrukcja zdarzeń dokonana przez ekspertów Kaspersky Lab pokazuje, że rootkit rozprzestrzeniał się aktywnie od września do listopada 2007. Wykorzystanie sieci IFrameBiz mogło zapewnić mu szerokie rozpowszechnienie. Jednocześnie opisane wyżej fakty wskazują na to, że nieuchwytność rootkita wynikała z wysokiego poziomu szyfrowania jego kodu i zastosowania licznych technik zapobiegających debugowaniu, które utrudniały jego analizę przez większość ekspertów.

Producenci antywirusowi mieli tego rootkita od momentu pojawienia się go "na wolności". Od mniej więcej tego samego czasu większość produktów antywirusowych, z bardzo nielicznymi wyjątkami, zapewniało wykrywanie jego aktywności podczas instalacji w systemie, jak również wykrywanie komponentów odpowiedzialnych za jego instalację i dystrybucję. Przy pomocy prostych narzędzi do monitorowania zmian w systemie plików łatwo można było uniemożliwić mu przedostanie się do systemu.

Rustock.C rzeczywiście istnieje, nie jest żadnym mitem. Mitem natomiast jest nieuchwytność tego rootkita: nie wynika ona z żadnych nadzwyczajnych możliwości maskowania tego szkodnika, ale opiera się na pogłoskach, jakie pojawiły się pod koniec 2006 roku i działały na korzyść autorów szkodliwego oprogramowania. Celem autora Rustocka nie było stworzenie niewykrywalnego rootkita. Chciał jedynie utrudnić analizę szkodnika po jego wykryciu. Dzięki temu można było opóźnić moment wykrycia go przez rozwiązania antywirusowe w stosunku do rozpoczęcia jego dystrybucji.

Pozostaje tylko jedno pytanie: dlaczego w połowie października 2007 roku autor Rustocka przestał ulepszać swojego szkodnika i wypuszczać nowe warianty? Czy to znaczy, że rozpoczął nowy projekt i gdzieś istnieje już 'Rustock.D'? Eksperci nie znają jeszcze odpowiedzi na to pytanie.

Eksperci wcześniej wspomnieli, że Trojan.Win32.Inject.mt instalował dwa pliki w systemie - 1.exe oraz 2.exe - nie został jednak omówiony charakter drugiego pliku. Był to wariant Sinowala, trojana szpiegującego. Tego samego, który dwa miesiące po zdarzeniach opisanych w artykule Kaspersky Lab przyprawił o ból głowy firmy antywirusowe i znany jest jako 'bootkit'.

Rustock i Sinowal były rozprzestrzeniane w tym samym czasie i za pośrednictwem tego samego botnetu. Nowe warianty Rustocka przestały pojawiać się w połowie października 2007 roku. Pierwsze próbki "bootkita" zostały wykryte miesiąc później, w listopadzie 2007 roku.