Компьютерра - Компьютерра PDA N105 (02.04.2011-08.04.2011)
С тех пор, как пояснил "Компьютерре" Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено - доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock - это "обычный, непропатченный, старый компьютер домохозяйки из США", работающий под Windows XP (это единственная операционная система, которую он заражает).
Интересно, что Rustock.c паразитирует на других ботнетах. "Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, - говорит Голованов. - Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера".
БотнетПока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.
Вскоре Rustock превратился в крупный и гиперактивный ботнет, рассылающий спам буквально тоннами: он мог раскидывать до 25 тысяч мусорных писем в час с каждой заражённой машины. Впрочем, как правило, его производительность была куда ниже. По некоторым данным, на пике своей жизнедеятельности он отправлял порядка 192 писем в минуту с каждого заражённого компьютера.
Оценки величины Rustock разнятся. В "Лаборатории Касперского" считают, что Rustock никогда не превращался в крупный ботнет. "Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев", - говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал "усыхать" в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.
Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах - до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? "Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит", - предположили тогда в Symantec.
Как выяснилось, и вправду следили...
Первый ударПопытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.
Дело в том, что McColo предоставлял услуги так называемого "пуленепробиваемого хостинга": компания не задавала своим клиентам ненужных вопросов и не реагировала на жалобы. На McColo собралась живописнейшая компания: спамеры, распространители детской порнографии, фишеры и прочих "мерзавцев сотни три". Среди клиентов McColo всплыла даже Russian Business Network - полумифическая питерская фирма, которая также занималась криминальным бизнесом в киберпространстве, включая "пуленепробиваемый хостинг" со всяким "интересным" контентом. И, самое главное, на серверах McColo располагались контрольные центры ботнетов Mega-D, Srizbi, Pushdo, Warezov и нашего дорогого Rustock.
19 ноября 2008 года McColo, воспользовавшись соглашением о резервном копировании со шведским провайдером TeliaSonera, ненадолго вернулся в онлайн, но его тут же снова закрыли. Впрочем, судя по всему, этого времени хватило, чтобы перевести контрольные серверы ботнетов с тонущего хостера куда-то ещё.
Спустя несколько недель объёмы спама вернулись к прежним значениям.
Операция b107В середине марта 2011 года, к вящему недоумению борцов с сетевыми напастями, ботнет Rustock заглох намертво. Его активность уже снижалась в рождественско-новогодний период, но затем он снова воспрял. Возникла масса пересудов на тему возможного возвращения ботнета в строй.
18 марта отдел по борьбе с киберпреступностью Microsoft объявил, что он совместно с правоохранительными органами США провёл операцию под кодовым названием b107, в результате которой ботнет Rustock был обезглавлен.
Операция против Rustock проводилась по той же схеме, что и более ранняя (и успешная) атака на ботнет Waledac. Первый этап был сугубо юридическим: владельцев ботнета Rustock обвинили в нарушении лицензионного соглашения Windows, поскольку Rustock делает возможным удалённый доступ к ОС Windows на заражённом компьютере, что категорически запрещено лицензией. Это ещё не всё: поступило обвинение и в нарушениях торговой марки (изрядная часть спама шла через Hotmail), и нарушении американского закона CAN-SPAM.
Комедия? Это ещё не всё: в Microsoft заручились поддержкой - кого бы вы думали? - фармацевтической компании Pfizer, выпускающей "Виагру". Ей давно надоела спамерская реклама: и покушение на торговую марку, и для здоровья опасно.
В результате корпорациям удалось добиться изъятия дисков, на которых находились контрольные серверы ботнета. После этого второй этап был делом техники. У Rustock нашлось несколько слабых мест: для обмена данными между клиентом и сервером используется протокол HTTP; вдобавок бот-агенты ищут контрольные серверы не только по DNS, но и по списку IP-адресов, встроенных в исходный код троянов. Их надо было отключать все разом. Что и было проделано.
Помощь Microsoft оказали компания FireEye (в прошлом она косвенно поучаствовала в закрытии McColo) и специалисты по сетевой безопасности из Университета штата Вашингтон. За рубежом к операции подключились киберподразделение полиции Нидерландов (как минимум один контрольный центр находился на территории этой страны) и китайское агентство CNCERT/CC - оно заблокировало домены, находившиеся на территории Поднебесной.
Как выяснилось, контрольные центры ботнета в этот раз располагались на вполне легальных, а отнюдь не "пуленепробиваемых" площадках. Тайно, разумеется. Маршалы США вместе с юристами Microsoft нанесли одновременные визиты в несколько компаний в семи городах США, конфискуя оборудование, как говорится, "с запасом".
Finita La Comedia?Две недели тишины. Судя по всему, ботнет действительно парализован - выбито его главное коммуникационное звено. А вот насчёт того, что будет дальше, вопросов остаётся достаточно. Ars Technica указывает, что теперь всё зависит от того, насколько долго сможет Microsoft удерживать "судебную" блокировку IP-адресов, прописанных в коде трояна. И успеют ли к тому моменту, как все сроки иссякнут, пользователи заражённых машин принять меры. Как ни смешно, именно Windows XP - "бессмертная" операционная система - является главной "питательной средой" для ботнета. Под Vista и Windows 7 спамбот не работает.
В "Лаборатории Касперского" на ситуацию смотрят чуть более оптимистично. По мнению Александра Гостева, если Microsoft закрыла все домены Rustock, то установка нового ботнета возможна только с нуля.
Ключевое слово, однако, - "если"...
Пользователям Windows XP рекомендуется проверить свои компьютеры утилитой CureIt, написанной в компании "Доктор Веб". Она позволяет выявить наличие руткита Rustock в системе и устранить его.
Василий Щепетнёв: Дюжина старушек
Автор: Василий Щепетнев
Опубликовано 08 апреля 2011 года
Недавно в Воронеже очередная история случилась. Видно, вслед за Ноздрёвым город хочет стать историческим. И не то чтобы уж очень громкая история, а так... противная. Пошла бабка в гипермаркет, купила кой-какой товар, а расплатиться за всё позабыла. Неважно, память её подвела, пенсия или ещё что. После кассы охрана отвела бабку в особливую комнатушку, нашла у неё среди оплаченного товара неоплаченный (глазированные сырки), после чего старушка быстренько и скончалась. Вот и вся история. И подумать только - сырки! Мне знакомый технолог рассказывал, как их делают. Добро бы шоколадка – нет, тоже дрянь. Колбаса? Замолчите, меня уже тошнит. Чипсы? Пельмени? Нектар «Тропический»? Решительно ничего не было в гипермаркете, толкающего на смертельный риск. А вот умерла. Даже дело завели по части 3 статьи 127 УК РФ «Незаконное лишение свободы, повлекшее по неосторожности смерть потерпевшего». Как всегда в случаях, когда шила в мешке утаить не удаётся, «материал поставлен на контроль в центральном аппарате Следственного комитета». Правда, что это означает? Больше ли станут стараться, и если больше, то в какую сторону? Сказать трудно.
В гипермаркет тот и я иногда захожу. Нечасто, а только если вдруг по пути. Магазин как магазин. А оно вон как, на старушек охотится, однако…
Понятно, нехорошо не оплачивать взятые вещи. Если произошло это сознательно – кража. Если по рассеянности (бабке той семьдесят лет) – всё равно не дело. Если ты рассеянный, принимай меры: карманы зашей, что ли, или сразу руки дома в шкафу запри и шагай безруким. Можно перед походом в магазин списочек составить, вроде робинзоновского (в старых книгах любили списочки припасов: «На борту «Альбатроса» нашел я ружьё, бочонок с порохом, пятифунтовый – два, бочонок с подмоченным порохом – ещё два, бочонок с дробью – четыре, банка с анчоусами двухфунтовая – шесть, рома ямайского восемь сорокавёдерных бочек» и так далее). Ну, и в магазин такой же: «Булочка городская – одна, кефир обезжиренный, пол-литра – один». Вот, собственно, и всё, не робинзон же, а пенсионер. И следовать списочку один в один, на ром и сырки не отвлекаться. А то, как старушка! Это всё диванные скорби, не более. Бойкотировать магазин? Но ведь не просто лавочка «Чехов и сыновья», а громада, вытеснившая с рынка многих. Что ж, пять лишних кварталов отмахивать за семирублёвой булочкой?