Doctor Web, Ltd. – Dr. Web nimeliste IT-turbe lahenduste väljatöötaja – väljastabuue Dr. Web skänneri versiooni, mis tuvastab edukalt viiruse Win32.Ntldrbot (aka Rustock.C) ning parandab rootkit-i poolt nakatatud süsteemifailid. Hetkel ei suuda ükski teine viirusetõrje seda pahavara tuvastada.

Lähipäevil tähistab maailm rämpsposti kolmekümnendat sünnipäeva. Tee Hormel Foods-i tüütutest lihakonservide reklaamidest tänapäeval rämpsposti nime all tuntud ülemaailmse probleemini oli pikk. Paljud meist on märganud meililiikluse kasvu silmnähtava põhjuseta ning eksperdid on hinnanud 90% meilisaadetistest tähtsusetuteks ning häirivateks. Win32.Ntldrbot on üheks põhjuseks, miks spämmerite tegevus on jätkuvalt õitsev.

Win32.Ntldrbot põhiülesandeks on arvutite nakatamine ning nende muutmine rämpsposti robotiteks robotivõrkudes – tohutusuurtes rämpsposti levitamiseks loodud võrkudes. Lisaks sellele jääb rootkit ise täiesti tuvastamatuks. Arvatavasti on see rootkit tegutsenud juba alates 2007. a. oktoobrist! Secure Works-i hinnangul on Rustocki poolt loodud robotivõrk suuruselt kolmas maailmas ning see levitab iga päev umbes 30 miljardit rämpsposti sõnumit, millest enamus reklaamivad väärtpabereid ja ravimeid.

Viiruse autor alustas uute võrgudraiveri funktsioonide ülevõtmise ja süsteemis peitmise tehnoloogiate katsetamist 2005. a. lõpus või 2006. a. alguses, kui ilmus välja pahavara esimene versioon. Rustock.B ilmus samuti aastal 2006. See oli võimeline läbima tulemüüre ning peitma rämpspostiliiklust. Viirusetõrje programmid tuvastasid ja eemaldasid viiruse need variandid väga kergelt.

Kuid viiruse järgmine versioon - Win32.Ntldrbot – osutus vastupidavamaks: ei viirusetõrje programmide tootjad ega ka viiruste kirjutajad ei suutnud hankida pahavara näidiseksemplari. Ilma tõendusmaterjalita ei ole kuritegu. Seega teatasid enamus viirusetõrje programmide tootjaid, et pahavara ei eksisteeri, kuna seda ei leitud ning seega ei ole mingit vajadust võidelda müüdiga.

Samal ajal osutus Win32.Ntldrbot aga tõeliseks.

Osad viirusetõrje laborid ei andnud viiruse otsinguil alla. Lõpuks viisid intensiivsed otsingud ka tulemuseni. Möödus 18 kuud, enne kui Win32.Ntldrbot leiti Doctor Web, Ltd. analüütikute poolt 2008. a. alguses. Kogu selle aja jooksul kahjustas viirus arvuteid ning muutis need robotiteks. Eeldades, et viirus on levinud vabalt ning täiesti nähtamatult alates 2007. a. oktoobrist, võib ainult ette kujutada nakatunud meililiikluse kogusummat.

Doctor Web, Ltd. viirustemonitooringu osakond leidis umbes 600 viiruse eksemplari. Keegi ei tea, kui palju on neid veel järgi jäänud. Viiruse lahtipakkimiseks ja analüüsimiseks ning tuvastamistehnoloogia loomiseks kulus nädalaid.

Mõned Win32.Ntldrbot omadused:

• Rootkit-i keerukas polümorfne kaitse muudab selle lahtipakkimise ning analüüsimise äärmiselt raskeks.

• Rakendudes draiverina töötab viirus kõige madalamal kerneli tasemel.

• Kaitseb iseennast, tõkestab käitusaegsed muutused.

• Kasutab silumisvastaseid tehnikaid: jälgib riistvara katkestuspunkte (DR-registreid), katkestab kerneli taseme silurite töö (nt. Syser, SoftIce). WinDbg silur ei tööta, kui viirus on käivitunud.

• Võtab üle süsteemifunktsioonid, kasutades mittestandardseid meetodeid.

• Töötab failiviirusena ning nakatab süsteemi draiverid.

• Viiruse üks eksemplar kohandub nakatunud arvuti riistvaraga ning eeldatavalt ei tööta teises arvutis.

• Kasutab aeglülituvat taasnakatamist. Vana nakatunud fail parandatakse. Seega „rändab” viirus mööda süsteemidraivereid, nakatades korraga ainult ühe neist.

• Filtreerib nakatunud failile tehtavad kutsed, võtab üle failisüsteemi draiveri FSD-protseduurid ning suunab nakatunud failile tehtavad pöördumised ümber originaalfailile.

• Kasutab anti-rootkit kaitset.

• Lisab oma teegi ühele Windows-i süsteemi protsessile ning teek alustab rämpsposti saatmist. Draiver on ühendatud DLL-ga kasutades spetsiaalset käsuedastusmehhanismi.

Loe veel rohkem Win32.Ntldrbot (aka Rustock.C) kohta

Win32.Ntldrbot on suutnud ennast viirusetõrje programmide eest varjata juba mõnda aega. See tähendab, et keegi ei saa garanteerida, et just sinu arvuti ei ole nakatunud. Võib-olla on su arvuti muudetud robotiks ning saadab just praegu spämmi laiali. Kui sa ei kasuta Dr. Web viirusetõrjet, võid oma arvutit skaneerida ning parandada süsteemifailid Win32.Ntldrbot nakkusest kasutades Dr.Web CureIt! tasuta parandamise tööriista.