Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

Александр Панасенко 06 Мая 2008 - 12:14

...

Компания «Доктор Веб» объявляет о выпуске новой версии сканера Dr.Web, которая не только детектирует Win32.Ntldrbot (aka Rustock.C), но и лечит зараженные им системные файлы. На текущий момент ни один современный антивирус, кроме Dr.Web, не детектирует Win32.Ntldrbot.

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии. В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу «нет жертвы - нет преступления» большинство антивирусных вендоров заняло такую позицию: «Раз даже мы его не видим (не нашли), значит он не существует. Это миф!»

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Ноября 2025 - 19:36

ViPNet Client Корпорации Сетевая безопасность Защищенные VPN-шлюзы Инфотекс

ViPNet Client 5 для ОС «Аврора» получил сертификат ФСБ по классу КС1

Компания «ИнфоТеКС» объявила, что программный комплекс ViPNet Client 5 для российской мобильной ОС «Аврора 5» прошёл сертификацию ФСБ России и соответствует требованиям к СКЗИ класса КС1. Это первый продукт нового поколения ViPNet, который получил сертификат в линейке решений для «Авроры».

ViPNet Client 5 предназначен для защищённой передачи данных и безопасного доступа пользователей к корпоративным ресурсам через общедоступные сети, включая интернет.

Кроме классических функций защиты каналов связи, продукт позволяет безопасно подключаться к системам аудио- и видеоконференций, SIP-телефонии и может использоваться в промышленных системах и ИСУЭ.

Новая версия работает на едином исходном коде, поддерживает протокол IPlir 6, алгоритмы шифрования «Магма» и «Кузнечик», ключи форматов dst и ds5. Среди обновлений — переработанный интерфейс, поддержка нескольких профилей на одном устройстве, а также возможность многофакторной аутентификации и работы с аппаратными токенами.

Руководитель продуктового направления «ИнфоТеКС» Александр Василенков отметил, что продукт стал результатом тесного взаимодействия разработчиков, платформы «Аврора» и экспертов регулятора. Он подчеркнул, что ViPNet Client 5 создавался с прицелом на соответствие и более высоким классам СКЗИ — КС2 и КС3. Сертификация будет завершена после подтверждения соответствия ОС «Аврора 5» по классам АК2 и АК3.

В «Открытой мобильной платформе» также считают получение сертификата важным шагом для расширения экосистемы доверенного ПО. Начальник продуктовой экспертизы Сергей Аносов подчеркнул, что многие заказчики используют решения ИнфоТеКС в доверенных ПАКах для защищённой работы и безопасного доступа к корпоративным ресурсам.

ОС «Аврора» развивается как корпоративная мобильная платформа с сертификациями ФСТЭК и ФСБ. Её уже внедряют крупные государственные компании и организации, формируя защищённую мобильную среду для работы сотрудников.