Цифровой журнал «Компьютерра» № 63

Опубликовано 07 апреля 2011 года

Причина тишины — не совестливость спамеров. 16 марта 2011 года корпорация Microsoft совместно с правоохранительными органами нескольких стран провела масштабнейшую операцию и заблокировала многочисленные контрольные серверы ботнета. Поскольку операция осуществлялась скоординированно, получилось, что ботнету снесли все головы разом. Это не был поход одиноких Геракла и Иолая против Лернейской Гидры, скорее — набег целого отряда лесорубов с бензопилами.

Rustock уходит в режим радиомолчания не впервые. Его уже пытались искоренить в 2008 году, потом он по каким-то причинам притих на рубеже 2010-2011 годов. Оба раза тишина продолжалась недолго. Замолк ли он навсегда в этот раз? Пока непонятно. Факт, однако, в том, что с ним расправились на совесть. Даже если его владельцам однажды удастся поднять ботнет на ноги, это будет не так уж просто.

Возможно, стоит подвести некоторые итоги. Rustock и сам по себе — явление интересное.

Название Rustock придумали сотрудники антивирусной фирмы Symantec. Так окрестили пойманную 13 января 2008 года вредоносную программу. Впрочем, автору (или авторам?) Rustock имя пришлось по вкусу — вот какая строка обнаружилась в одной из следующих версий программы.

Фрагмент с «визитной карточкой» раньше выглядел иначе: папки «Rustock» не было, только «Spambot».

С тех пор прошёл не один год, но об авторах и владельцах Rustock по-прежнему нет достоверных сведений. По косвенным признакам выходит, что их родным языком был русский. Об этом можно судить, например, по упоминанию mail.ru и yandex.ru в коде или по говорящему названию бета-версии Rustock.b — huy32.sys. Кроме того, основателем злополучного хостинга McColo, на котором располагался первый контрольный центр Rustock, был «русский хакер» по имени Николай (только это о нём и известно).

В «Лаборатории Касперского» практически уверены, что Rustock — российское произведение. По словам ведущего антивирусного эксперта компании Сергея Голованова, спам-бизнес — практически полностью русский, к тому же именно так, как был написан Rustock, руткиты пишут только выходцы из СНГ.

Руткит — это основа Rustock. Троянец устанавливает его на компьютер жертвы первым делом. Руткит позволяет использовать заражённую машину в качестве скрытого прокси-сервера, который действует на случайно выбранном TCP-порту. Кроме того, программа предпринимает попытки связаться с серверами ftp.skystockfinance.cc, https.enjoyfit2006.biz и www2.firemonk2006.com для подгрузки дополнительных файлов и конфигурационной информации. Мало того, через TCP-порт 25 она могла обращаться к SMTP-хостам mxs.mail.ru, smtp.yandex.ru и maila.microsoft.com.