Библибоба

Читаем Компьютерра PDA N105 (02.04.2011-08.04.2011) полностью

Компьютерра PDA N105 (02.04.2011-08.04.2011)

Компьютерра

"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой новую версию вредоносной программы обнаружила российская антивирусная компания "Доктор Веб". Тут и выяснилось, что создатели Rustock прекрасно понимали, что они делают и какие средства будут применяться против их детища. Все версии спамбота были сходны между собой по функциональности, но у Rustock.c оказался самый хитрый механизм для игры в прятки.

Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.

Ещё один метод маскировки: Rustock.c то и дело "меняет партнёров". Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в "Доктор Веб", троян перехватывает системные функции "неклассическим методом". Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.

Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии "Лаборатории", распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.

"Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение, - сообщала "Лаборатория Касперского" в своё время. - Однако либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для "заливки" по каналам IFrameBiz был создан совершенно отдельный модуль". Новый загрузчик "Антивирус Касперского" детектирует как Trojan-Downloader.Win32.Agent.ddl.

С тех пор, как пояснил "Компьютерре" Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено - доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock - это "обычный, непропатченный, старый компьютер домохозяйки из США", работающий под Windows XP (это единственная операционная система, которую он заражает).

Интересно, что Rustock.c паразитирует на других ботнетах. "Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, - говорит Голованов. - Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера".

Ботнет

Пока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.

Вскоре Rustock превратился в крупный и гиперактивный ботнет, рассылающий спам буквально тоннами: он мог раскидывать до 25 тысяч мусорных писем в час с каждой заражённой машины. Впрочем, как правило, его производительность была куда ниже. По некоторым данным, на пике своей жизнедеятельности он отправлял порядка 192 писем в минуту с каждого заражённого компьютера.

Оценки величины Rustock разнятся. В "Лаборатории Касперского" считают, что Rustock никогда не превращался в крупный ботнет. "Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев", - говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал "усыхать" в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.

Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах - до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? "Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит", - предположили тогда в Symantec.

Как выяснилось, и вправду следили...

Первый удар

Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.

Перейти на страницу:
Читать далее

Похожие книги

1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих
1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих

Книга предоставляет полное описание приемов и методов работы с программой "1С:Управление небольшой фирмой 8.2". Показано, как автоматизировать управленческий учет всех основных операций, а также автоматизировать процессы организационного характера (маркетинг, построение кадровой политики и др.). Описано, как вводить исходные данные, заполнять справочники и каталоги, работать с первичными документами, формировать разнообразные отчеты, выводить данные на печать. Материал подан в виде тематических уроков, в которых рассмотрены все основные аспекты деятельности современного предприятия. Каждый урок содержит подробное описание рассматриваемой темы с детальным разбором и иллюстрированием всех этапов. Все приведенные в книге примеры и рекомендации основаны на реальных фактах и имеют практическое подтверждение.

Алексей Анатольевич Гладкий

Экономика / Программное обеспечение / Прочая компьютерная литература / Прочая справочная литература / Книги по IT / Словари и Энциклопедии
Читать бесплатно
Об интеллекте
Об интеллекте

В книге "Об интеллекте" Джефф Хокинс представляет революционную теорию на стыке нейробиологии, психологии и кибернетики и описывающую систему "память-предсказание" как основу человеческого интеллекта. Автор отмечает, что все предшествующие попытки создания разумных машин провалились из-за фундаментальной ошибки разработчиков, стремившихся воссоздать человеческое поведение, но не учитывавших природу биологического разума. Джефф Хокинс предполагает, что идеи, сформулированные им в книге "Об интеллекте", лягут в основу создания истинного искусственного интеллекта - не копирующего, а превосходящего человеческий разум. Кроме этого книга содержит рассуждения о последствиях и возможностях создания разумных машин, взгляды автора на природу и отличительные особенности человеческого интеллекта.Книга рекомендуется всем, кого интересует устройство человеческого мозга и принципы его функционирования, а также тем, кто занимается проблемами разработки искусственного интеллекта.

Джефф Хокинс , Джеф Хокинс , Сандра Блейксли , Сандра Блэйксли

Зарубежная компьютерная, околокомпьютерная литература / Технические науки / Прочая компьютерная литература / Образование и наука / Книги по IT
Без регистрации
Компьютер + TV: телевидение на ПК
Компьютер + TV: телевидение на ПК

Казалось бы, что общего между персональным компьютером и телевизором, помимо экрана? Один предназначен для работы, игр, серфинга по Интернету, второй – для просмотра любимых фильмов, телепередач, спортивных трансляций. Однако не все так просто, как может показаться на первый взгляд. Сегодняшний ПК с легкостью выполняет функции телевизора, ведь он способен принимать телевизионный сигнал (как эфирный, так и спутниковый), вещающие в Интернете теле– и радиостанции. Кроме того, именно при взаимодействии ПК и Интернета родилась относительно новая, но тем не менее уже успевшая зарекомендовать себя схема работы ТВ – интерактивное телевидение.Итак, если вы хотите овладеть современными телевизионными технологиями, а также превратить свой ПК в «комбайн», способный выполнять не только привычные для компьютера функции, но и массу других, то эта книга – для вас.

Виктор Гольцман , Виктор Иосифович Гольцман

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Полная версия
Внедрение SAP R/3: Руководство для менеджеров и инженеров
Внедрение SAP R/3: Руководство для менеджеров и инженеров

Это практическое всеобъемлющие руководство было написано специально для тех, кто выбирает стратегию внедрения SAP в организации. «Внедрение SAP R/3: руководство для менеджеров и инженеров» объясняет, что означает понятие «эпоха ERP», почему информация является одним из ключевых ресурсов предприятия, как SAP способствует росту конкурентоспособности компании, а также преимущества методологии ASAP в планировании и использовании ресурсов при внедрении SAP. Подход к ERP-системам, используемый в данной книге, будет крайне полезен менеджерам и специалистам, которым необходимо представить высшему руководству своих компаний основания для внедрения SAP; кроме того, данная книга будет весьма полезной тем, кто занимается проектами SAP или планирует такой проект в ближайшем будущем. Для тех читателей, кто непосредственно занят в проектах SAP, эта книга станет надежным руководством и поможет внести существенный вклад в развитие проекта.

Вивек Кале

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать Онлайн
Избранное