На руткит Rustock нашлась управа
Компания "Доктор Веб" выпустила новую версию сканера Dr.Web, способную, по утверждениям разработчика, не только обнаруживать руткит Win32.Ntldrbot (он же - Rustock.C), но и лечить зараженные им системные файлы.
Руткит Rustock имеет три вариации - Rustock.A, Rustock.B и Rustock.C, последний из которых отличается повышенной зловредностью в том смысле, что своё присутствие в системе скрывает весьма умело и эффективно.
Главное, чем данный бэкдор неприятен, так это тем, что заражённый компьютер Rustock/Ntldrbot превращает в спамбот, причём пользователь машины может об этом даже не подозревать. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область "специализации" этой сети - ценные бумаги и фармацевтика.
Найти Rustock.C не удавалось весьма продолжительное время, многие начали подозревать, что Rustock.C просто не существует. Однако в начале 2008 года аналитики "Доктор Веб" его всё-таки выявили, и на данный момент им удалось обнаружить около 600 экземпляров руткита.
"Доктор Веб" приводит основные технические характеристики данного Rustock.C: во-первых, у него имеется мощный полиморфный протектор, затрудняющий анализ и распаковку руткита; во-вторых, руткит реализован в виде драйвера уровня ядра, работает на самом низком уровне и своего отдельного, даже скрытого, процесса не имеет.
У вируса имеется функция самозащиты, позволяющая противодействовать модификации времени исполнения. Какой-либо отладке вирус противодействует: например, он контролирует установку DR-регистров, нарушает работу отладчиков уровня ядра, таких как Syser, SoftIce, а отладчик WinDbg при активном рутките не работает вообще.
Работает как файловый вирус, заражая системные драйверы. Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет. Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один.
Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. От антируткитов защищается весьма и весьма успешно, чем его "невидимость" и объясняется.
Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека и занимается рассылкой спама.
Все подробности о рутките доступны по этой ссылки
На сайте "Доктор Веб" выложена новая версия лечащей утилиты Dr.Web CureIt, которая позволяет выявить присутствие руткита Rustock.C в системе и истребить его. Утилита распространяется бесплатно.
Руткит Rustock имеет три вариации - Rustock.A, Rustock.B и Rustock.C, последний из которых отличается повышенной зловредностью в том смысле, что своё присутствие в системе скрывает весьма умело и эффективно.
Главное, чем данный бэкдор неприятен, так это тем, что заражённый компьютер Rustock/Ntldrbot превращает в спамбот, причём пользователь машины может об этом даже не подозревать. По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область "специализации" этой сети - ценные бумаги и фармацевтика.
Найти Rustock.C не удавалось весьма продолжительное время, многие начали подозревать, что Rustock.C просто не существует. Однако в начале 2008 года аналитики "Доктор Веб" его всё-таки выявили, и на данный момент им удалось обнаружить около 600 экземпляров руткита.
"Доктор Веб" приводит основные технические характеристики данного Rustock.C: во-первых, у него имеется мощный полиморфный протектор, затрудняющий анализ и распаковку руткита; во-вторых, руткит реализован в виде драйвера уровня ядра, работает на самом низком уровне и своего отдельного, даже скрытого, процесса не имеет.
У вируса имеется функция самозащиты, позволяющая противодействовать модификации времени исполнения. Какой-либо отладке вирус противодействует: например, он контролирует установку DR-регистров, нарушает работу отладчиков уровня ядра, таких как Syser, SoftIce, а отладчик WinDbg при активном рутките не работает вообще.
Работает как файловый вирус, заражая системные драйверы. Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет. Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит "путешествует" по системным драйверам, оставляя зараженным какой-нибудь один.
Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного. От антируткитов защищается весьма и весьма успешно, чем его "невидимость" и объясняется.
Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека и занимается рассылкой спама.
Все подробности о рутките доступны по этой ссылки
На сайте "Доктор Веб" выложена новая версия лечащей утилиты Dr.Web CureIt, которая позволяет выявить присутствие руткита Rustock.C в системе и истребить его. Утилита распространяется бесплатно.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.