1. Житель Зерноград влаштував землякам «бездротову електропередачу»
2. Високий рівень «розумний будинок» не дасть в образу себе - і вас!

Останнім часом, одним з основних напрямків розвитку вредносних програм стало застосування в них всіляких способів маскування від антивірусних засобів. Руткіти стають все більш витонченими, їх вже застосовують хакери. Віруси нового покоління дуже небезпечні, - і виявляти їх дуже важко, якщо не сказати більше. Про один такий, ще недавно міфічному (і неопределяемом) Рутка піде мова в сьогоднішній статті. Що ж стосується методів боротьби з подібними шкідливими програмами, то провідні експерти міжнародної лабораторії Invisible Things Lab , Опитані ТехноДрайвом, вважають існуючі підходи виявлення і лікування як і раніше неефективними. Однак, сподівання на порятунок від загрози руткітів дають останні дослідження компанії «Доктор Веб» ...

Rootkit (руткит, від англ. Root - «корінь» і kit - «набір») - програма або набір програм, що дозволяють комп'ютерного зловмисникові закріпитися у зламаній системі і приховати сліди своєї діяльності шляхом приховування файлів, процесів, а також самого факту присутності (Wikipedia ).
Ботнети. Для того щоб зрозуміти, про що піде мова далі, необхідно ознайомитися з деякими термінами, один з них - ботнет. За даними все тієї ж Wikipedia, ботнет або бот-мережу (англ. Botnet) - це комп'ютерна мережа, що складається з певної кількості хостів, з запущеними ботами - автономним програмним забезпеченням. Найчастіше бот у складі ботнета приховано встановлюється на комп'ютері жертви і дозволяє зловмиснику виконувати якісь дії, експлуатуючи ПО і ресурси зараженого комп'ютера. Як правило, ботнети використовуються для нелегальної або несанкціоновану діяльність - розсилки спаму, перебору паролів на віддаленій системі, атак на відмову в обслуговуванні і багато чого іншого.
(Висловлюючись простіше, впровадження бота на вашому ПК робить його слухняним волі хакера. Який буде розсилати за ваш рахунок спам або «ламати» інші сервери - БЗ)
Компанія SecureWorks провела дослідження найбільш великих бот-мереж, що займаються розсилкою спаму. Нас же цікавить тільки один з них, а саме Rustock, який займає третє місце в цьому своєрідному рейтингу. Коротка інформація по ботнету виглядає так:

• Передбачувана кількість заражених машин - близько 150 000;
• Здатність ботнету розсилати спам - близько 30 мільярдів повідомлень в день;
• Наявність руткит-складової - так.

Дорослішання Rustock. Назва Rustock придумали фахівці антивірусної компанії Symantec, і воно так сподобалося автору шкідливого коду, що в подальшому він став його використовувати. Спочатку в перших версіях руткита можна було зустріти такий рядок: Z: \ NewProjects \ spambot \ last \ driver \ objfre \ i386 \ driver.pdb. У наступних крім рядка з використанням spambot з'явився рядок Rustock rootkit v 1.2.
Прийнято вважати і ділити покоління даного руткита на три «вікові групи» (A, B, C). Це не зовсім вірно, так як автор постійно експериментував і зраджував код, методи перехоплення функцій і поліпшував стабільність, але в цілому кардинальних змін за одну версію не вносив. Насправді ситуацію з «версійна» руткита досить просто відстежити.
В кінці 2005 - початку 2006 року з'явилися перші бета-версії Rustock.A на яких обкатувалися технології. Відрізнити їх можна за назвами драйверів: i386.sys, sysbus32. Щоб приховати себе в системі використовувався перехоплення системної таблиці викликів (SSDT) ​​і перехоплення IRP-пакетів.
Далі з'явилася повноцінна версія Rustock.A - pe386.sys (версія 1.0), яка відрізнялася від перших версій техніками приховування себе в системі. Перш за все, автор відмовився від SSDT і перехопив переривання 0x2E (Windows 2000) і MSR_SYSENTER (Windows XP +). Щоб приховати файлу на диску були використані ADS (Alternate Data Stream). Дана технологія підтримується на файлову систему NTFS. Тіло руткита знаходилося в% SystemRoot% \ system32: [случайний_набор_ціфр].
У тому ж 2006 році з'явилася бета-версія Rustock.B (huy32.sys), а відразу за нею повноцінна версія Rustock.B - lzx32.sys (версія 1.2), в якій використовувалися перехоплення INT2E / MSR_SYSENTER, ADS (% Windir% \ System32: lzx32.sys). Крім усього іншого, автор додав перехоплення функцій мережевих драйверів: tcpip.sys, wanarp.sys і ndis.sys, який дозволяв йому обходити фаєрволи і ховати спам-трафік.
Також були випущені варіанти з урізаним функціоналом, варіанти, які відновлювали перехоплення в разі їх виявлення і зняття антіруткіта або антивірусами, а також різні варіанти з випадковими іменами драйверів.
Деякі антивірусні вендори, наприклад TrendMicro, виклали в своїх вірусних бібліотеках опис Rustock.C, але після перевірки цей екземпляр виявився черговий ці експерименти ненадійні Rustock.B.
Rustock.C. Перші чутки про Rustock.C з'явилися влітку 2006 року. Тоді ж його почали шукати як антивірусні лабораторії, так і вирусописатели. Антивірусні лабораторії шукали для того, щоб проаналізувати і поліпшити свої методи виявлення руткітів, - а вирусописатели просто для того, щоб накрасти чужих ідей і вбудувати в свої шкідливі програми захист і методи приховування «попрактічнее».
Йшов час, а зразок чи то не знаходився, чи то часу на його аналіз у антивірусних лабораторій не вистачало, адже щодня доводиться мати справу з тисячами файлів. Офіційних підтверджень чи спростувань так і не з'явилося, були лише якісь розмови на різних форумах. Багато вендори вважали за краще «відхреститися» від C-варіанту і зайняли позицію: «Ну, раз ми його не бачимо / не знайшли, значить він не існує. Це міф! », Або:« Давайте ще згадаємо Rustock.С, який десь живе, а його ніхто не бачить і бачити не може ».
Але виявилося, що Rustock.C не міф. Не всі антивірусні лабораторії кинули його пошук, і він дав результати. Минуло всього півтора року, і Rustock.C був знайдений на початку 2008 року. Весь цей час він працював, розсилав спам.
Службою вірусного моніторингу компанії «Доктор Веб» було виявлено близько 600 екземплярів даного руткита, скільки їх існує насправді невідомо. Дата складання більшості - вересень або жовтень 2007 року. На розпакування, детальний аналіз і поліпшення методів детектування подібних екземплярів вірусні аналітики «Доктор Веб» витратили кілька тижнів.
Навіть якщо припустити, що руткит працює з жовтня 2007 року абсолютно невидимо для антивірусів, можна зробити висновки про величезну кількість паразитного трафіку який він розіслав. Спам перетворився в серйозну загальносвітову проблему, з якою доводиться боротися кожен день. Користувачі скаржаться на витік трафіку, їх особисті поштові скриньки переповнені абсолютно непотрібною і дратівливою інформацією. Втрачається час, витрачаються гроші, витрачаються нерви. Те, що у Rustock.C було стільки часу діяти безкарно, не ризикуючи бути спійманим антивірусом, означає, що ніхто не дасть гарантії, що і ваша машина не є частиною однієї з бот-мереж і не розсилає спам прямо зараз.
Деякі технічні характеристики руткита. Rustock.C має потужний поліморфний протектор, що утруднює аналіз і розпакування. Він реалізований у вигляді драйвера рівня ядра, тобто працює на найнижчому рівні. Також шкідливий код має функцію самозахисту, протидіє модифікації часу виконання, активно протидіє налагодженні: контролює установку апаратних точок зупину (DR-регістри) і порушує роботу отладчиков рівня ядра: Syser, SoftIce. При цьому відладчик WinDbg при активному Рутка не працює взагалі.
За оцінками аналітиків «Доктор Веб», Rustock.C перехоплює системні функції некласичних методом. У їх числі NtCreateThread, NtDelayExecution, NtDuplicateObject, NtOpenThread, NtProtectVirtualMemory, NtQuerySystemInformation, NtReadVirtualMemory, NtResumeThread, NtTerminateProcess, NtTerminateThread і NtWriteVirtualMemory. Руткіт працює як файловий вірус, заражаючи системні драйвери. Його конкретний екземпляр прив'язується до обладнання зараженого комп'ютера. Таким чином, на іншому комп'ютері руткит з великою ймовірністю працювати не буде.
Крім того, Rustock.C має функцію «перезараженія», що спрацьовує за часом. Старий заражений файл при «Перезараження» виліковується. Таким чином, руткит «подорожує» по системним драйверам, залишаючи зараженим який-небудь один, - а також фільтрує звернення до зараженого файлу, перехоплюючи FSD-процедури драйвера файлової системи і підставляє оригінальний файл замість зараженого. На тлі цього, шкідливий код має захист від антіруткіта і включає бібліотеку, впроваджується в один із системних процесів ОС Windows. Дана бібліотека займається розсилкою спаму. Для зв'язку драйвера з DLL використовується спеціальний механізм передачі команд.
Висновки. Відразу після виявлення цього руткита вірусопісателямі слід очікувати сплеск подібних технологій і впровадження їх у шкідливі програми.
На поточний момент, крім антивіруса Dr.Web, жоден сучасний антивірус не детектирует Rustock.C. Також жоден антивірус, крім антивіруса Dr.Web, не лікує заражені їм системні файли. Тим, хто не є користувачем даного продукту, рекомендується завантажити безкоштовну лікує утиліту Dr.Web CureIt! і провести перевірку комп'ютера.
Закінчити статтю хотілося б фразою, яка стала популярною в 90-х роках. Сьогодні вона присвячується автору Rustock: «Все що може бути запущено, може бути зламано».
В'ячеслав Русаков
вірусний аналітик компанії «Доктор Веб»
PS Дана публікація не залишилася без уваги інших антивірусних розробників. Зокрема, співробітник «Лабораторії Касперського» Віталій Камлюк опублікував власний матеріал , Присвячений зомбі-мереж.
Крім того, експерт міжнародної лабораторії Invisible Things Lab Олександр Терешкин в ексклюзивному коментарі для TechnoDrive зазначив, що на даний момент неможливо запропонувати скільки-небудь ефективне рішення проблеми руткітів, просто створюючи антіруткіта. «Адже наявні антіруткіта і антивіруси вимагають постійного оновлення для успішної боротьби з новими руткитами. А так звані проактивні захисту не рятують користувачів від шкідливого коду, що використовує уразливість ОС ». Нагадаємо, що півроку тому фахівці ITL розповіли ростовчанам про ще одну потенційну загрозу для комп'ютерів майбутнього.

Мало не забули: у TechnoDrive є група ВКонтакте - і на Facebook . Підключайтеся!

Житель Зерноград влаштував землякам «бездротову електропередачу»

Як відомо, легендарний Нікола Тесла був прихильником бездротової передачі електрики на великі відстані. Його відкриття в цій галузі лягли в основу експериментів у багатьох країнах світу, - включаючи СРСР . І, можливо, надихнувшись отриманими результатами, 55-річний житель Зерноград порахував електричні дроти ЛЕП атавізмом, який можна вигідно продати? У будь-якому випадку, озброївшись спеціальним обладнанням, чоловік протягом трьох ночей демонтував 5,5 кілометра ліній електропередач. Однак його ентузіазм не оцінили співробітники енергетичної компанії - і правоохоронні органи, що порушили відносно «послідовника Тесли» кримінальну справу за статтею «Крадіжка».

Високий рівень «розумний будинок» не дасть в образу себе - і вас!

Коли чуєш по радіо в таксі рекламу «розумного будинку», то розумієш, що його нарешті активно виводять на масовий ринок. Це більше не екзотика. Більш того, оператори бачать в цій послузі стартовий майданчик для подальшого зростання. Але далеко не кожен «розумний дім» однаково корисний, вірно? У стільникових операторів, наприклад, техпідтримка могла роками відповідати на поставлене по цьому сервісу питання (перевірено редакцією). Тому, коли випала нагода, ми задали питання по «розумному будинку» « Ростелекому ». І переконалися, що «розумний будинок» від найбільшого російського постачальника цифрових послуг виявився не тільки глибоко продуманим, але і здатним постояти за себе. Ще інформація !!! Кримінал, ПП, хакери