Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

Александр Панасенко 06 Мая 2008 - 12:14

...

Компания «Доктор Веб» объявляет о выпуске новой версии сканера Dr.Web, которая не только детектирует Win32.Ntldrbot (aka Rustock.C), но и лечит зараженные им системные файлы. На текущий момент ни один современный антивирус, кроме Dr.Web, не детектирует Win32.Ntldrbot.

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии. В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу «нет жертвы - нет преступления» большинство антивирусных вендоров заняло такую позицию: «Раз даже мы его не видим (не нашли), значит он не существует. Это миф!»

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Ноября 2025 - 18:13

Соответствие законодательству РФ Общее

Подготовка зарубежных кадров поможет продвижению российских ИБ продуктов

На SOC Forum участники дискуссии о перспективах экспорта российских ИБ-продуктов и сервисов пришли к выводу: одним из ключевых факторов успеха за рубежом станет подготовка иностранных специалистов. О том, что российский рынок ограничен по объёму, говорится уже давно.

Поэтому для отечественных компаний выход на международные площадки становится необходимым условием дальнейшего развития.

Как напомнил директор по клиентской работе «Российского экспортного центра» Алексей Мудраков во время дискуссии «Конкуренция на уровне идей: экспортный потенциал российских технологических решений», внутренний ИТ-рынок России составляет лишь около 0,5% мирового. Доля российского рынка информационной безопасности немного выше, но даже по оптимистичным оценкам не превышает 2% от глобального объёма.

С другой стороны, модератор обсуждения, исполнительный директор Института экономики роста им. П. А. Столыпина Алексей Свириденко отметил, что глобальный спрос на ИТ- и ИБ-решения смещается в сторону стран «глобального юга».

По прогнозам зарубежных аналитических агентств, уже к началу 2030-х годов продажи ИТ- и ИБ-решений в Латинской Америке, Южной и Юго-Восточной Азии превысят объёмы, формируемые традиционными рынками Северной Америки и Европы.

Эти регионы пока недостаточно освоены крупными игроками, и российские компании уже пытаются там закрепиться — нередко вполне успешно. Кроме того, ИТ и ИБ становятся важной частью так называемой «мягкой силы».

Директор Департамента международной информационной безопасности МИД России, специальный представитель президента по вопросам международного сотрудничества в сфере ИБ Артур Люкманов подчеркнул, что одной из важнейших задач является подготовка зарубежных кадров.

Эта работа, по его словам, не должна ограничиваться университетами. Компании также должны открывать учебные центры — как в России, так и в целевых странах присутствия. Подготовленные специалисты впоследствии становятся проводниками российских технологий и подходов.

Управляющий директор по развитию экспорта фонда «Сайберус» Сергей Войнов сравнил развитие специалистов с формированием целой экосистемы. Именно сочетание гибкости и способности выстраивать такие экосистемы, по его мнению, отличает российскую отрасль ИБ от американской, израильской и китайской.

Директор международных продаж ГК «Солар» Артём Падейский также отметил, что подготовка зарубежных специалистов является критически важной задачей. По его словам, необходимо формировать сообщества таких экспертов: в дальнейшем они становятся проводниками российских технологий на своих национальных рынках. Опыт показал, что дистанционный формат работы не обеспечивает необходимых результатов.