Читаем Компьютерра PDA N105 (02.04.2011-08.04.2011) полностью

"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой новую версию вредоносной программы обнаружила российская антивирусная компания "Доктор Веб". Тут и выяснилось, что создатели Rustock прекрасно понимали, что они делают и какие средства будут применяться против их детища. Все версии спамбота были сходны между собой по функциональности, но у Rustock.c оказался самый хитрый механизм для игры в прятки.

Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.

Ещё один метод маскировки: Rustock.c то и дело "меняет партнёров". Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в "Доктор Веб", троян перехватывает системные функции "неклассическим методом". Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.

Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии "Лаборатории", распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.

"Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение, - сообщала "Лаборатория Касперского" в своё время. - Однако либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для "заливки" по каналам IFrameBiz был создан совершенно отдельный модуль". Новый загрузчик "Антивирус Касперского" детектирует как Trojan-Downloader.Win32.Agent.ddl.

С тех пор, как пояснил "Компьютерре" Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено - доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock - это "обычный, непропатченный, старый компьютер домохозяйки из США", работающий под Windows XP (это единственная операционная система, которую он заражает).

Интересно, что Rustock.c паразитирует на других ботнетах. "Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, - говорит Голованов. - Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера".

Пока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.

Вскоре Rustock превратился в крупный и гиперактивный ботнет, рассылающий спам буквально тоннами: он мог раскидывать до 25 тысяч мусорных писем в час с каждой заражённой машины. Впрочем, как правило, его производительность была куда ниже. По некоторым данным, на пике своей жизнедеятельности он отправлял порядка 192 писем в минуту с каждого заражённого компьютера.

Оценки величины Rustock разнятся. В "Лаборатории Касперского" считают, что Rustock никогда не превращался в крупный ботнет. "Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев", - говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал "усыхать" в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.

Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах - до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? "Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит", - предположили тогда в Symantec.

Как выяснилось, и вправду следили...

Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.