- Rustock
-
Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году.[1] Ботнет функционировал до марта 2011 года.[2]
Поражались ПК с 32-битной ОС Microsoft Windows. С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час.[3][4] Ботнет rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.
Содержание
История
Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года.[5]
В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами.[5]
В 2008 в связи с временным отключением хостинга McColo (Сан-Хосе, Калифорния), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась.[6]
Ботнет был разрушен 16 марта 2011[2] в рамках совместной операции «b107»[7], проведённой Microsoft, агентами федеральных правоохранительных органов, FireEye, и университетом Вашингтона.[8]
В мае 2011[9] года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k»[10]. Предположительно, часть организаторов ботсети находилась в России.[11]
В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон.[12]
За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение.[12]
Внутреннее устройство
Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4. Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php.[13]
Файл вируса состоит из:[13]
- Модуля первичной деобсфукации размером 0x4AF байт
- Загрузчика Rootkit (0x476 байт)
- Кодов Rootkit.
- Модуля отправки спама.
Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe.[13]
Вариации
Были найдены также 3 вариации вируса Rustock:
- Вариант Rustock.С1 — создан 10 сентября 2007 года.
- Вариант Rustock.С2 — создан 26 сентября.
- Варианты C3 и С4 — созданы 9-10 октября 2007.
Примечания
- ↑ Chuck Miller The Rustock botnet spams again. SC Magazine US (25 июля 2008). Архивировано из первоисточника 15 августа 2012. Проверено 21 апреля 2010.
- ↑ 1 2 Hickins, Michael. Prolific Spam Network Is Unplugged, Wall Street Journal (17 марта 2011). Проверено 17 марта 2011.
- ↑ Real Viagra sales power global spam flood - Techworld.com. News.techworld.com. Архивировано из первоисточника 15 августа 2012. Проверено 21 апреля 2010.
- ↑ Rustock: M86 Security
- ↑ 1 2 «Rustock и все-все-все» (securelist.com)
- ↑ http://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Dead network provider arms Rustock botnet from the hereafter. McColo dials Russia as world sleeps]
- ↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown. Архивировано из первоисточника 15 августа 2012. Проверено 27 марта 2011.
- ↑ Wingfield, Nick. Spam Network Shut Down, Wall Street Journal (18 марта 2011). Проверено 18 марта 2011.
- ↑ Rustock Botnet Suspect Sought Job at Google — Krebs on Security
- ↑ Microsoft turns Rustock botnet case over to the FBI "According to CNET, Cosma2k is the ringleader of the Rustock botnet"
- ↑ «Microsoft: следы организаторов бот-сети Rustock ведут в Россию» // CyberSecurity.ru "в корпорации сообщили, что по крайней мере часть операторов Rustock находится в России. "
- ↑ 1 2 Microsoft обещает $250 тыс. за данные о «русском боте»
- ↑ 1 2 3 A Case Study of the Rustock Rootkit and Spam Bot // HotBots
Ссылки
- Александр Гостев. «Rustock и все-все-все» // securelist.com
- Ken Chiang, Levi Lloyd (Sandia). A Case Study of the Rustock Rootkit and Spam Bot // HotBots’07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
- Вячеслав Русаков: "Win32.Ntldrbot (aka Rustock.C) – не миф, а реальность!" (pdf)
Вредоносное программное обеспечение Инфекционное вредоносное ПО Компьютерный вирус (список) · Сетевой червь (список) · Троянская программа · Загрузочный вирус · Хронология Методы сокрытия Бэкдор · Компьютер-зомби · Руткит Вредоносные программы
для прибылиAdware · Privacy-invasive software · Ransomware (Trojan.Winlock) · Spyware · Бот · Ботнет · Веб-угрозы · Кейлогер · Формграббер · Scareware (Лжеантивирус) · Порнодиалер По операционным системам Вредоносное ПО для Linux · Вирусы для Palm OS · Макровирус · Мобильный вирус Защита Defensive computing · Антивирусная программа · Межсетевой экран · Система обнаружения вторжений · Предотвращение утечек информации · Хронология антивирусов Контрмеры Anti-Spyware Coalition · Computer surveillance · Honeypot · Operation: Bot Roast Категория:- Компьютерные вирусы
Wikimedia Foundation. 2010.