Win32.Ntldrbot (aka Rustock.C) больше не миф. Новая версия сканера Dr.Web отлично справляется с руткитом-невидимкой

Александр Панасенко 06 Мая 2008 - 12:14

...

Компания «Доктор Веб» объявляет о выпуске новой версии сканера Dr.Web, которая не только детектирует Win32.Ntldrbot (aka Rustock.C), но и лечит зараженные им системные файлы. На текущий момент ни один современный антивирус, кроме Dr.Web, не детектирует Win32.Ntldrbot.

На днях мир отметил печальную годовщину – тридцатилетие спама. Пройдя путь от надоедливой рекламы американских консерв Hornel Foods под торговой маркой SPAM, рассылка нежелательных писем превратилась в серьезную общемировую проблему. Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Обкатка новых технологий перехвата функций сетевых драйверов и техник сокрытия себя в системе была начата автором этого руткита в конце 2005 – начале 2006 года, когда появились его первые бета-версии. В том же 2006 появилась версия Rustock.B, которая позволяла обходить файерволы и прятать спам-трафик. Справляться с первыми версиями руткита для антивирусных компаний не составляло особого труда.

А вот со следующей версией Rustock случилась загвоздка: его образец не смогли обнаружить ни антивирусные компании, ни вирусописатели. По принципу «нет жертвы - нет преступления» большинство антивирусных вендоров заняло такую позицию: «Раз даже мы его не видим (не нашли), значит он не существует. Это миф!»

Не все антивирусные лаборатории бросили его поиск, и он дал результаты. Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Ноября 2025 - 12:06

Общее Apple Google Microsoft

Pornhub просит Apple и Google перейти к проверке возраста на устройствах

Pornhub и его материнская компания Aylo обратились сразу к трём гигантам — Apple, Google и Microsoft — с призывом поддержать новую модель возрастной проверки не на уровне сайтов, а прямо на устройствах. В Aylo утверждают: нынешний подход, когда возраст проверяют каждый отдельный сайт и сторонние сервисы, почти не работает.

Как выяснили в WIRED, письма были отправлены на фоне ужесточения законов в США и Великобритании, где всё чаще требуют загружать документы и подтверждать возраст перед просмотром контента для взрослых.

По их словам, это неудобно, небезопасно и не выполняет главную задачу — не пускать детей ко взрослому контенту. Компания предлагает иной вариант: устройство один раз подтверждает возраст владельца, а затем безопасно передаёт сигнал API всем сервисам, которые запрашивают такую информацию.

Поводом для диалога стали последствия законов о проверке возраста. Pornhub уже столкнулся с огромной потерей трафика — до 80 процентов — после того, как вышел из большинства штатов США, где требуют загрузки ID.

Похожая ситуация и в Великобритании: после вступления в силу Online Safety Act сайт потерял почти столько же аудитории. Aylo говорит, что пользователи просто уходят на нерегулируемые ресурсы, где нет ни проверки возраста, ни стандартов безопасности.

Представители Pornhub считают, что передача личных данных сторонним сервисам — риск для конфиденциальности, а государственный контроль за тысячами платформ объективно невозможен. Они подчеркивают, массовые законы не работают: люди легко обходят проверки через VPN или переходят на сайты без ограничений.

Тем временем крупные техкомпании реагируют осторожно. Google заявляет, что развивает собственные инструменты age assurance и напоминает: приложения для взрослых всё равно запрещены в Google Play. Microsoft ссылается на недавние рекомендации, где делается акцент на проверках именно на уровне сервисов. Apple указывает на существующие родительские настройки и политику детских аккаунтов, но пока не предлагает универсального механизма API для всех сайтов.

Ситуация развивается на фоне глобального ужесточения правил защиты детей в интернете. В США всё чаще говорят о политической подоплёке происходящего: по словам экспертов, часть инициатив исходит от религиозных групп, добивающихся фактической цензуры контента для взрослых.

Тем не менее Aylo утверждает, что индустрия вовсе не против регулирования — наоборот, она хочет единых и работающих правил. В компании считают, что каждое устройство по умолчанию должно быть «детским», пока владелец не подтвердит, что он взрослый. Такой механизм, уверены в Pornhub, позволит одновременно защитить несовершеннолетних и не превращать интернет в систему с постоянными запросами документов.