Rustock – mit czy rzeczywistość?

W grudniu 2006 roku wśród badaczy rootkitów (zarówno czarnych, jak i białych kapeluszy), rozeszły się pogłoski o tym, że ktoś stworzył i wypuścił “całkowicie niewykrywalnego” rootkita, znanego jako Rustock.C, którego nie można wykryć na komputerach, na których jest aktywny, przy pomocy żadnego istniejącego rozwiązana do zwalczania wirusów czy rootkitów.

Długie poszukiwania “mitycznego rootkita” okazały się bezowocne. W rezultacie, wszelkie informacje o rootkicie Rustock.C traktowane były w kręgach badaczy rootkitów jak żart. Sytuacja ta trwała do maja 2008 roku.
Diagnoza “lekarska”. Na początku maja rosyjska firma Dr.Web poinformowała społeczność antywirusową, że ich eksperci wykryli nowego rootkita o nazwie Ntldrbot, znanego również jako Rustock.C. Wiadomość ta była równie nieprzyjemna co sensacyjna.

Według firmy Dr.Web, rootkit uniknął schwytania przez producentów antywirusowych od października 2007 roku. Pojawiły się głosy, że Rustock.C został wykorzystany do stworzenia jednej z największych dzisiaj sieci zombie służącej do rozsyłania spamu. Dr.Web powoływał się również na badanie przeprowadzone przez Secure Works, według którego botnet stworzony przy użyciu rootkita Rustock stanowił trzecią pod względem wielkości sieć zombie, zdolną do rozesłania w ciągu jednego dnia nawet do 30 bilionów wiadomości spamowych. Jednak szacunki Secure Works nie mogły mieć nic wspólnego z nowo wykrytym rootkitem, ponieważ aż do maja 2008 roku był on nieznany. Eksperci Secure Works mieli najprawdopodobniej na myśli botnet stworzony przy użyciu wcześniejszych wariantów rootkita Rustock – A oraz B (Trojan-Clicker.Win32.Costrat i SpamTool.Win32.Mailbot, według klasyfikacji firmy Kaspersky Lab).

Z informacji opublikowanych przez firmę Dr.Web wynika, że jej eksperci zdobyli próbkę prawdziwego rootkita Rustock.C pod koniec marca 2008 roku. Ponad miesiąc zajęło im analizowanie kodu rootkita, stworzenie i opublikowanie narzędzi umożliwiających wykrywanie i leczenie. Inne firmy antywirusowe zostały poinformowane o wynikach dopiero później.

Stworzony przez firmę Dr.Web opis rootkita pozostawiał zbyt wiele pytań bez odpowiedzi. Po pierwsze, nie było jasne, w jaki sposób i kiedy rozprzestrzenił się rootkit i dlaczego od października 2007 roku nikt nie zdołał go wykryć.

Rozpowszechnianą przez firmę Dr.Web próbką kodu rootkita był sterownik Windows o rozmiarze 244 448 bajtów.

Niestety brakowało tak zwanego droppera, tj. pliku służącego do instalowania rootkita w systemie. Gdyby został dostarczony, bardzo ułatwiłby pracę laboratorium antywirusowego, polegającą na analizowaniu rootkita i opracowywaniu procedur wykrywania i leczenia rootkita Rustock.C. Ponadto mógłby pomóc wyjaśnić, w jaki sposób został rozprzestrzeniony ten rootkit.

Nie pojawiły się żadne wiarygodne informacje dotyczące występowania rootkita “na wolności”. Równie dobrze Rustock.C mógł być jedynie okazem w kolekcji jakiegoś “zbieracza” i nie był rozprzestrzeniany, co wyjaśniałoby, dlaczego znalezienie go zajęło tak dużo czasu.

Alexander Gostev
Starszy analityk wirusów, więcej na Kaspersky Lab

Kaspersky Lab, poinformował o otrzymaniu certyfikatu Citrix Ready. Certyfikat został przyznany, jako pierwszemu rozwiązaniu antywirusowemu na świecie, produktowi Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition. Oznacza to, że program firmy Kaspersky Lab jest obecnie jedynym produktem antywirusowym odznaczającym się potwierdzoną kompletną kompatybilnością z platformą Citrix Presentation Server.

Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition chroni dane przechowywane na serwerach działających pod kontrolą systemów Microsoft Windows przed wszelkimi rodzajami szkodliwych programów. Produkt został zaprojektowany z myślą o wysoce wydajnych serwerach korporacyjnych, które często działają pod dużym obciążeniem. Skuteczność i wydajność rozwiązania połączona z wygodnym zarządzaniem oferują niezrównany poziom ochrony dla serwerów korporacyjnych. Przeprowadzone testy potwierdziły, że Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition jest w pełni kompatybilny z 32- i 64-bitową wersją platformy Citrix Presentation Server.
„Jednym z głównych elementów linii Kaspersky Open Space Security – nowego podejścia Kaspersky Lab do ochrony sieci korporacyjnych – jest obsługa mobilności użytkowników, która pozwala im na znacznie efektywniejsze wykonywanie zadań biznesowych,” mówi Alexey Kalgin, zastępca dyrektora ds. produktów w Kaspersky Lab. „Zdalny dostęp do danych i aplikacji (wirtualizacja prezentacji) jest w nowoczesnym biznesie bardzo ważny. Jesteśmy bardzo szczęśliwi oddając do rąk klientów rozwiązanie, które zapewnia ochronę antywirusową terminalowych sesji Citrix. Podczas tworzenia produktu Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition wzięliśmy pod uwagę infrastrukturę i cechy charakterystyczne rozwiązań firmy Citrix. Efektem naszej pracy jest pierwszy na świecie certyfikat Citrix Ready przyznany rozwiązaniu antywirusowemu.”
Certyfikat Citrix Ready, przyznawany wyłącznie najlepszym produktom, gwarantuje kompletną kompatybilność rozwiązania Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise Edition z platformą Citrix Presentation Server. Program certyfikacyjny Citrix Ready pomaga klientom w dokonaniu właściwego wyboru rozwiązań innych firm, które charakteryzują się najwyższym stopniem kompatybilności z infrastrukturą Citrix Application Delivery Infrastructure.
„Citrix Ready ułatwia klientom wybór najlepszych rozwiązań spełniających ich oczekiwania,” powiedział David Jones, Senior Vice President w firmie Citrix Systems. „Citrix Ready daje klientom dodatkową gwarancję najwyższej jakości rozwiązań oferowanych przez naszych partnerów technologicznych.”
Citrix Presentation Server jest zintegrowanym systemem zapewniającym zdalny dostęp do aplikacji. Rozwiązanie oferuje wszystkim użytkownikom, niezależnie od metod i urządzeń wykorzystywanych przez nich do uzyskiwania dostępu do sieci, możliwość wydajnej pracy. Citrix Presentation Server pozwala firmom na scentralizowanie aplikacji i danych w bezpiecznych repozytoriach.

Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o opublikowaniu rocznego raportu dotyczącego ewolucji szkodliwego oprogramowania i spamu w 2007 roku: Kaspersky Security Bulletin 2007. Przegląd aktywności wirusowej w 2007 roku dostarcza informacji dotyczących głównych incydentów związanych z wirusami, analizę trendów w tworzeniu i dystrybucji wirusów, jak również prognozy firmy Kaspersky Lab.

Raport skierowany jest zarówno do specjalistów z dziedziny IT, jak i użytkowników komputerów PC zainteresowanych problematyką wirusów komputerowych.

Więcej