Rustock - Руткит - Ботнет
Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году. Ботнет функционировал до марта 2011 года.
Поражались ПК с 32-битной ОС Microsoft Windows. С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час. Ботнет rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.
Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года.
В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами.
В 2008 в связи с временным отключением хостинга McColo (Сан-Хосе, Калифорния), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась.
Ботнет был разрушен 16 марта 2011 в рамках совместной операции «b107», проведённой Microsoft, агентами федеральных правоохранительных органов, FireEye, и университетом Вашингтона.
В мае 2011 года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k». Предположительно, часть организаторов ботсети находилась в России.
В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон.
За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение.
Внутреннее устройство Rustock
Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4. Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php.
Файл вируса состоит из:
Модуля первичной деобсфукации размером 0x4AF байт
Загрузчика Rootkit (0x476 байт)
Кодов Rootkit
Модуля отправки спама
Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe.
Виды Rustock
Были найдены также 3 вида вируса Rustock:
Вариант Rustock.С1 - создан 10 сентября 2007 года
Вариант Rustock.С2 - создан 26 сентября
Варианты C3 и С4 - созданы 9-10 октября 2007
Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году. Ботнет функционировал до марта 2011 года.
Поражались ПК с 32-битной ОС Microsoft Windows. С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час. Ботнет rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.
Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года.
В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами.
В 2008 в связи с временным отключением хостинга McColo (Сан-Хосе, Калифорния), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась.
Ботнет был разрушен 16 марта 2011 в рамках совместной операции «b107», проведённой Microsoft, агентами федеральных правоохранительных органов, FireEye, и университетом Вашингтона.
В мае 2011 года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k». Предположительно, часть организаторов ботсети находилась в России.
В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон.
За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение.
Внутреннее устройство Rustock
Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4. Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php.
Файл вируса состоит из:
Модуля первичной деобсфукации размером 0x4AF байт
Загрузчика Rootkit (0x476 байт)
Кодов Rootkit
Модуля отправки спама
Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe.
Виды Rustock
Были найдены также 3 вида вируса Rustock:
Вариант Rustock.С1 - создан 10 сентября 2007 года
Вариант Rustock.С2 - создан 26 сентября
Варианты C3 и С4 - созданы 9-10 октября 2007
0 коммент.:
Отправить комментарий