Rustock

Rustock — руткит и ботнет, созданный на его базе. Rustock появился в 2006 году^[1]. Ботнет функционировал до марта 2011 года^[2].

Поражались ПК с 32-битной ОС Microsoft Windows. С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час^[3]^[4]. Ботнет Rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.

ИсторияПравить

Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года^[5].

В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами^[5].

В 2008 в связи с временным отключением хостинга McColo (Сан-Хосе, Калифорния), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась^[6].

Ботнет был разрушен 16 марта 2011^[2] в рамках совместной операции «b107»^[7], проведённой Microsoft, агентами федеральных правоохранительных органов, FireEye, и университетом Вашингтона^[8].

В мае 2011^[9] года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k»^[10]. Предположительно, часть организаторов ботсети находилась в России^[11].

В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон^[12].

За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение^[12].

Внутреннее устройствоПравить

Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4. Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php^[13].

Файл вируса состоит из^[13]:

Модуля первичной деобсфукации размером 0x4AF байт
Загрузчика Rootkit (0x476 байт)
Кодов Rootkit.
Модуля отправки спама.

Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe^[13].

ВариацииПравить

Были найдены также 3 вариации вируса Rustock:

Вариант Rustock.С1 — создан 10 сентября 2007 года.
Вариант Rustock.С2 — создан 26 сентября.
Варианты C3 и С4 — созданы 9—10 октября 2007.

ПримечанияПравить

↑ Chuck Miller. The Rustock botnet spams again (неопр.) (недоступная ссылка — история). SC Magazine US (25 июля 2008). Дата обращения: 21 апреля 2010. Архивировано 15 августа 2012 года.
↑ ¹ ² Hickins, Michael. Prolific Spam Network Is Unplugged, Wall Street Journal (17 марта 2011). Архивировано 22 июля 2011 года. Дата обращения: 17 марта 2011.
↑ Real Viagra sales power global spam flood - Techworld.com (неопр.) (недоступная ссылка — история). News.techworld.com. Дата обращения: 21 апреля 2010. Архивировано 15 августа 2012 года.
↑ Rustock: M86 Security (неопр.). Дата обращения: 13 января 2012. Архивировано 25 мая 2012 года.
↑ ¹ ² «Rustock и все-все-все» (securelist.com)
↑ https://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Архивная копия от 13 ноября 2017 на Wayback Machine Dead network provider arms Rustock botnet from the hereafter. McColo dials Russia as world sleeps]
↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown (неопр.) (недоступная ссылка — история). Дата обращения: 27 марта 2011. Архивировано 15 августа 2012 года.
↑ Wingfield, Nick. Spam Network Shut Down, Wall Street Journal (18 марта 2011). Архивировано 20 марта 2011 года. Дата обращения: 18 марта 2011.
↑ Rustock Botnet Suspect Sought Job at Google — Krebs on Security (неопр.). Дата обращения: 13 января 2012. Архивировано 7 января 2012 года.
↑ Microsoft turns Rustock botnet case over to the FBI Архивная копия от 13 ноября 2011 на Wayback Machine "According to CNET, Cosma2k is the ringleader of the Rustock botnet"
↑ «Microsoft: следы организаторов бот-сети Rustock ведут в Россию» Архивная копия от 4 марта 2016 на Wayback Machine // CyberSecurity.ru "в корпорации сообщили, что по крайней мере часть операторов Rustock находится в России. "
↑ ¹ ² Microsoft обещает $250 тыс. за данные о «русском боте» (неопр.). Дата обращения: 13 января 2012. Архивировано 6 ноября 2011 года.
↑ ¹ ² ³ A Case Study of the Rustock Rootkit and Spam Bot // HotBots

СсылкиПравить

Александр Гостев. «Rustock и все-все-все» // Securelist.ru
Ken Chiang, Levi Lloyd (Sandia). A Case Study of the Rustock Rootkit and Spam Bot // HotBots’07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
Вячеслав Русаков: "Win32.Ntldrbot (aka Rustock.C) – не миф, а реальность!" (pdf)

[scmagazineus1-1] Chuck Miller. The Rustock botnet spams again (неопр.) (недоступная ссылка — история). SC Magazine US (25 июля 2008). Дата обращения: 21 апреля 2010. Архивировано 15 августа 2012 года.

[cnlhfmtps-2] ¹ ² Hickins, Michael. Prolific Spam Network Is Unplugged, Wall Street Journal (17 марта 2011). Архивировано 22 июля 2011 года. Дата обращения: 17 марта 2011.

[3] Real Viagra sales power global spam flood - Techworld.com (неопр.) (недоступная ссылка — история). News.techworld.com. Дата обращения: 21 апреля 2010. Архивировано 15 августа 2012 года.

[4] Rustock: M86 Security (неопр.). Дата обращения: 13 января 2012. Архивировано 25 мая 2012 года.

[rvvv-5] ¹ ² «Rustock и все-все-все» (securelist.com)

[6] ttps://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Архивная копия от 13 ноября 2017 на Wayback Machine Dead network provider arms Rustock botnet from the hereafter. McColo dials Russia as world sleeps]

[7] Williams, Jeff Operation b107 - Rustock Botnet Takedown (неопр.) (недоступная ссылка — история). Дата обращения: 27 марта 2011. Архивировано 15 августа 2012 года.

[8] Wingfield, Nick. Spam Network Shut Down, Wall Street Journal (18 марта 2011). Архивировано 20 марта 2011 года. Дата обращения: 18 марта 2011.

[9] Rustock Botnet Suspect Sought Job at Google — Krebs on Security (неопр.). Дата обращения: 13 января 2012. Архивировано 7 января 2012 года.

[10] Microsoft turns Rustock botnet case over to the FBI Архивная копия от 13 ноября 2011 на Wayback Machine "According to CNET, Cosma2k is the ringleader of the Rustock botnet"

[11] «Microsoft: следы организаторов бот-сети Rustock ведут в Россию» Архивная копия от 4 марта 2016 на Wayback Machine // CyberSecurity.ru "в корпорации сообщили, что по крайней мере часть операторов Rustock находится в России. "

[wbcuri-12] ¹ ² Microsoft обещает $250 тыс. за данные о «русском боте» (неопр.). Дата обращения: 13 января 2012. Архивировано 6 ноября 2011 года.

[acsotrrasb-13] ¹ ² ³ A Case Study of the Rustock Rootkit and Spam Bot // HotBots

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]