Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

Компания «Доктор Веб» объявляет о выпуске новой версии сканера Dr.Web, которая не только детектирует Win32.Ntldrbot (aka Rustock.C), но и лечит зараженные им системные файлы. На текущий момент ни один современный антивирус, кроме Dr.Web, не детектирует Win32.Ntldrbot.

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии. В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу «нет жертвы - нет преступления» большинство антивирусных вендоров заняло такую позицию: «Раз даже мы его не видим (не нашли), значит он не существует. Это миф!»

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Signal внедрил постквантовую систему шифрования SPQR для защиты чатов

Мессенджер Signal представил новый криптографический механизм под названием Sparse Post-Quantum Ratchet (SPQR) — он создан, чтобы защитить переписку пользователей от угроз, связанных с появлением квантовых вычислений.

SPQR будет работать как дополнительный уровень шифрования, постоянно обновляя ключи защиты сообщений и удаляя старые, что гарантирует высокий уровень конфиденциальности.

Даже если один из ключей каким-то образом окажется скомпрометирован, будущие сообщения останутся недоступными для злоумышленников.

Signal уже использует систему Double Ratchet, которая обеспечивает сквозное шифрование. Теперь к ней добавляется SPQR, формируя так называемый Triple Ratchet — ещё более устойчивый ко взлому механизм.

В основе SPQR лежат постквантовые криптографические алгоритмы, использующие Key-Encapsulation Mechanisms (ML-KEM) вместо традиционного эллиптического шифрования Diffie-Hellman. При этом система реализует специальные методы оптимизации, чтобы большие ключи не перегружали сеть.

Команда Signal поясняет:

«Когда вы отправляете сообщение, и Double Ratchet, и SPQR предлагают свои ключи шифрования. Затем оба ключа проходят через специальную функцию, которая создаёт единый “смешанный” ключ с гибридной защитой».

SPQR был создан при участии исследователей из PQShield, Японского института AIST и Нью-Йоркского университета. Концепция базируется на научных работах, представленных на конференциях USENIX 2025 и Eurocrypt 2025.

Новая система прошла формальную проверку безопасности с помощью ProVerif, а её реализация на Rust протестирована инструментом hax. Кроме того, Signal внедряет постоянную систему верификации — теперь доказательства безопасности будут обновляться при каждом изменении кода.

Переход на новую технологию будет происходить постепенно — пользователям не нужно ничего делать, кроме как обновлять приложение до последней версии.

SPQR будет обратимо совместимым: если пользователь с новой версией переписывается с тем, у кого SPQR пока нет, система автоматически перейдёт на прежнюю модель шифрования. Когда обновление станет доступно всем, Signal включит SPQR по умолчанию.

Напомним, в сентября Signal запустил зашифрованные резервные копии чатов с опцией подписки. Они позволяют восстанавливать переписку даже в случае потери или поломки телефона.

Недавно мы также анализировали какой мессенджер лучше защищает ваши данные — Signal или Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru