Interested Article - Rustock

brigid
  • 2021-09-06
  • 1

Rustock руткит и ботнет , созданный на его базе. Rustock появился в 2006 году . Ботнет функционировал до марта 2011 года .

Поражались ПК с 32-битной ОС Microsoft Windows . С заражённых компьютеров рассылался спам, скорость его рассылки могла достигать 25 тыс. сообщений в час . Ботнет Rustock содержал от 150 тыс. до 2 миллионов заражённых компьютеров.

История

Лаборатория Касперского полагает, что широкое распространение вируса Rustock началось 10 сентября 2007 года .

В мае 2008 года вирус был обнаружен. Через несколько дней он распознавался несколькими антивирусами .

В 2008 в связи с временным отключением хостинга ( Сан-Хосе, Калифорния ), у которого была установлена часть серверов управления ботнетом, активность ботнета уменьшалась .

Ботнет был разрушен 16 марта 2011 в рамках совместной операции «b107» , проведённой Microsoft , агентами федеральных правоохранительных органов, FireEye , и университетом Вашингтона .

В мае 2011 года Microsoft заявляла, что к работе ботнета был причастен человек, использовавший никнейм «Cosma2k» . Предположительно, часть организаторов ботсети находилась в России .

В июне 2011 года Microsoft разместила в газетах «Деловой Петербург» и «Московские новости» обращение к создателям Rustock и уведомила их о судебном процессе над ними в окружном суде штата Вашингтон .

За информацию о создателях вируса 18 июля 2011 года было объявлено крупное денежное вознаграждение .

Внутреннее устройство

Каждый заражённый компьютер регулярно обращался к управляющим серверам. Взаимодействие с ними происходило при помощи протокола HTTP и запросов типа POST. Все данные дополнительно шифровались, по мнению компании Symantec при помощи алгоритма RC4 . Сеанс обмена состоял из двух фаз: обмен ключами и передача инструкций. Обмен ключами происходил при обращении с скрипту login.php (клиент посылал 96 байт, отклик сервера 16 байт). Инструкции передавались скриптом data.php .

Файл вируса состоит из :

  • Модуля первичной деобсфукации размером 0x4AF байт
  • Загрузчика Rootkit (0x476 байт)
  • Кодов Rootkit.
  • Модуля отправки спама.

Загрузчик руткита использует функции ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp из ntoskrnl.exe .

Вариации

Были найдены также 3 вариации вируса Rustock:

  • Вариант Rustock.С1 — создан 10 сентября 2007 года.
  • Вариант Rustock.С2 — создан 26 сентября.
  • Варианты C3 и С4 — созданы 9—10 октября 2007.

Примечания

  1. Chuck Miller. . SC Magazine US (25 июля 2008). Дата обращения: 21 апреля 2010. Архивировано из 15 августа 2012 года.
  2. Hickins, Michael (2011-03-17). . Wall Street Journal. из оригинала 22 июля 2011 . Дата обращения: 17 марта 2011 .
  3. . News.techworld.com. Дата обращения: 21 апреля 2010. Архивировано из 15 августа 2012 года.
  4. . Дата обращения: 13 января 2012. 25 мая 2012 года.
  5. «Rustock и все-все-все» (securelist.com)
  6. от 13 ноября 2017 на Wayback Machine Dead network provider arms Rustock botnet from the hereafter. McColo dials Russia as world sleeps]
  7. Williams, Jeff . Дата обращения: 27 марта 2011. Архивировано из 15 августа 2012 года.
  8. Wingfield, Nick (2011-03-18). . Wall Street Journal. из оригинала 20 марта 2011 . Дата обращения: 18 марта 2011 .
  9. . Дата обращения: 13 января 2012. 7 января 2012 года.
  10. от 13 ноября 2011 на Wayback Machine "According to CNET, Cosma2k is the ringleader of the Rustock botnet"
  11. от 4 марта 2016 на Wayback Machine // CyberSecurity.ru "в корпорации сообщили, что по крайней мере часть операторов Rustock находится в России. "
  12. . Дата обращения: 13 января 2012. 6 ноября 2011 года.
  13. A Case Study of the Rustock Rootkit and Spam Bot // HotBots

Ссылки

  • Александр Гостев. // Securelist.ru
  • Ken Chiang, Levi Lloyd (Sandia). // HotBots’07 Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets
  • Вячеслав Русаков:
Источник —

brigid
  • 2021-09-06
  • 1
  • Tags:

Same as Rustock

The title for the last searches