Новый «троянский конь» настолько хорошо прячется, что, по мнению некоторых экспертов, открывает новую главу в их войне с авторами вредоносного кода. Вредитель, которого Symantec называет Rustock, а F-Secure — Mailbot.AZ, использует методы руткитов, чтобы избежать обнаружения средствами безопасности. «Его можно считать первым из руткитов нового поколения, — писал в блоге в конце прошлого месяца инженер по безопасности Symantec Элиа Флорио. — Rustock.A представляет собой комбинацию старых методов и новых идей, которые в сочетании рождают вредоносное ПО, достаточно скрытное, чтобы оставаться необнаруженным многими детекторами руткитов». Руткиты считаются угрозой нового типа. Они применяются для внесения в систему изменений с целью скрыть ПО, которое может быть вредоносным. В случае Rustock, или Mailbot.AZ, технология руткита применялась для того, чтобы спрятать троянского коня, открывающего лазейку в зараженную систему, передавая ее в полное распоряжение злоумышленника. В ходе продолжающейся гонки с производителями ПО безопасности создатели этого последнего руткита, похоже, хорошо изучили внутреннее устройство инструментов защиты, говорит Крейг Шмага, менеджер по исследованию вирусов McAfee, которая называет данный руткит PWS-JM. «Секьюрити-фирмы стараются оставаться на шаг впереди злоумышленников, но у тех уже есть технология, которую предлагают поставщики средств защиты, — говорит он. — Они объединили разные методы, что делает эту угрозу особенно опасной. Они хорошо поработали над тем, чтобы замести следы». Сочетание методов укрытия делает Rustock «абсолютно невидимым после установки на целевом компьютере», даже если на нем работает ранняя версия Windows Vista», пишет Флорио из Symantec. «Мы считаем это выдающимся примером сокрытия вредоносного кода». Чтобы избежать обнаружения, Rustock не запускает системные процессы, а исполняет свой код внутри потоков драйверов и ядра. Вместо скрытых файлов он использует чередующиеся потоки данных и избегает интерфейсов прикладных программ. Современные инструменты обнаружения ищут системные процессы, скрытые файлы и цепляются за API. Проверки на целостность некоторых структур ядра, выполняемые детекторами руткитов, и их попытки обнаружить скрытые драйверы в случае Rustock также ни к чему не приводят. Более того, драйвер SYS, который использует руткит, полиморфичен и от копии к копии изменяет свой код.
Более подробно