Win32.Ntldrbot (aka Rustock.C) больше не миф.

...Прошло полтора года, и Win32.Ntldrbot был найден аналитиками компании «Доктор Веб» в начале 2008 года. Все это время он работал, рассылал спам. Если предположить, что руткит безнаказанно работает с октября 2007 года и совершенно невидим для антивирусов, можно сделать выводы о каком громадном количестве паразитного трафика идет речь.

Службой вирусного мониторинга компании «Доктор Веб» обнаружено порядка 600 экземпляров данного руткита. Сколько их существует на самом деле в мире неизвестно. Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования подобных экземпляров.
[url]http://info.drweb.com/show/3341?lng=ru[/url]

Полный текст статьи:
[url]http://www.drweb.com/upload/a8601a8e66f6ff9a9c629c969482d292_1210059861_DDOCUMENTSArticales_PRDrWEB_Rustock_rus.pdf[/url]
[quote][CENTER][SIZE="3"][B]Win32.Ntldrbot (aka Rustock.C) – не миф, а реальность![/B][/SIZE][/CENTER]

[RIGHT]Ищут пожарные, ищет милиция,
Ищут фотографы в нашей столице,
Ищут давно, но не могут найти
Парня какого-то лет двадцати.
[B]С.Михалков[/B][/RIGHT]
[B]Rootkit[/B] (руткит, от англ. root – «корень» и kit – «набор») — программа или набор
программ, позволяющие компьютерному злоумышленнику закрепиться во взло-
манной системе и скрыть следы своей деятельности путём сокрытия файлов, про-
цессов, а также самого факта присутствия.
[RIGHT]По материалам Wikipedia[/RIGHT]
[B]Предисловие[/B]
В последнее время, одним из основных направлений развития вредносных про-
грамм стало применение в них всевозможных способов защиты от обнаружения
антивирусными средствами. Руткиты становятся все более изощренные, их количе-
ство растет с каждым годом. Большинство из них – это чужие идеи, воплощенные не
лучшим образом в коде, однако, есть и крайне интересные экземпляры. Об одном
таком мифическом и неопределяемом до недавнего времени рутките эта статья.

[B]Ботнеты[/B]
Для того чтобы понять, о чем пойдет речь дальше, необходимо ознакомиться с не-
которыми терминами, один из них – ботнет. По данным все той же Wikipedia, бот-
нет или бот-сеть (англ. botnet) — это компьютерная сеть, состоящая из некоторого
количества хостов, с запущенными ботами — автономным программным обеспе-
чением. Чаще всего бот в составе ботнета скрытно устанавливается на компьютере
жертвы и позволяет злоумышленнику выполнять некие действия, эксплуатируя ПО
и ресурсы заражённого компьютера. Как правило, ботнеты используются для не-
легальной или несанкционированной деятельности — рассылки спама, перебора
паролей в удалённой системе, атак на отказ в обслуживании и многого другого.
Компания SecureWorks провела исследование наиболее крупных бот-сетей, за-
нимающихся рассылкой спама. Нас же интересует только один из них, а именно
Rustock, который занимает третье место в этом своеобразном рейтинге. Краткая ин-
формация по ботнету выглядит так:
• предполагаемое количество зараженных машин: порядка 150, 000;
• способность ботнета рассылать спам: порядка 30 миллиардов сообщений
в день;
• наличие руткит-составляющей: да.
Теперь вы представляете с чем мы имеем дело и каков размах подобных сетей
в Интернет.

[B]Взросление Rustock[/B]
Название Rustock придумали специалисты антивирусной компании Symantec, и
оно так понравилось автору вредоносного кода, что в дальнейшем он стал его ис-
пользовать. Изначально в первых версиях руткита можно было встретить такую
строку: «Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb». В последую-
щих кроме строки с использованием «spambot» появилась строка «Rustock rootkit
v 1.2».
Принято считать и делить поколения данного руткита на три «возрастные группы»
(A, B, C). Это не совсем верно, так как автор постоянно экспериментировал и из-
менял код, методы перехвата функций и улучшал стабильность, но в целом карди-
нальных изменений за одну версию не вносил. На самом деле ситуацию с «верси-
онностью» руткита достаточно просто отследить.
В конце 2005 – начале 2006 года появились первые бета-версии Rustock.A на кото-
рых обкатывались технологии. Отличить их можно по названиям драйверов: i386.
sys, sysbus32. Для скрытия себя в системе использовался перехват системной та-
блицы вызовов (SSDT) и перехват IRP-пакетов.
Далее появилась полноценная версия Rustock.A – pe386.sys (версия 1.0), которая
отличалась от первых версий техниками скрытия себя в системе. Прежде всего,
автор отказался от SSDT и перехватил прерывание 0x2E (Windows 2000) и MSR_
SYSENTER(Windows XP+). Для скрытия файла на диске были использованы ADS
(Alternate Data Stream). Данная технология поддерживается на файловой системе
NTFS. Тело руткита находилось в %SystemRoot%\system32:[случайный_набор_
цифр].
В том же 2006 году появилась бета-версия Rustock.B (huy32.sys), а сразу за ней
полноценная версия Rustock.B - lzx32.sys (версия 1.2), в которой использовались
перехваты INT2E/MSR_SYSENTER, ADS (%Windir%\System32:lzx32.sys). Кроме все-
го прочего, автор добавил перехват функций сетевых драйверов: tcpip.sys, wanarp.
sys и ndis.sys, который позволял ему обходить фаерволы и прятать спам-трафик.
Также были выпущены варианты с урезанным функционалом, варианты, которые
восстанавливали перехваты в случае их обнаружения и снятия антируткитами или
антивирусами, а также различные варианты со случайными именами драйверов.
Некоторые антивирусные вендоры, например TrendMicro, выложили в своих ви-
русных библиотеках описание Rustock.C, но после проверки этот экземпляр оказал-
ся очередной экспериментальной версией Rustock.B

[B]Rustock.C[/B]
Первые слухи о Rustock.C появились летом 2006 года. Тогда же его начали искать
как антивирусные лаборатории, так и вирусописатели. Антивирусные лаборатории
искали для того, чтобы проанализировать и улучшить свои методы обнаружения
руткитов, а вирусописатели просто для того, чтобы наворовать чужих идей и встро-
ить в свои вредоносные программы защиту и методы сокрытия «попрактичнее».
Шло время, а образец то ли не находился, то ли времени на его анализ у антиви-
русных лабораторий не хватало, ведь ежедневно приходится иметь дело с тысяча-
ми файлов. Официальных подтверждений или опровержений так и не появилось,
были лишь какие-то разговоры на различных форумах. Многие вендоры предпочли
«откреститься» от C-варианта и заняли позицию: «Ну, раз мы его не видим/не наш-
ли, значит он не существует. Это миф!», или: «Давайте еще вспомним “Rustock.С”,
который где-то живет, а его никто не видит и видеть не может».
Но оказалось, что Rustock.C не миф. Не все антивирусные лаборатории бросили его
поиск, и он дал результаты.
[IMG]http://www.drweb.com/pix/2cod.gif[/IMG]
Как видно на изображении автор окончательно принял предложенное название
Rustock. Прошло всего полтора года, и Rustock.C был найден в начале 2008 года.
Все это время он работал, рассылал спам.
Службой вирусного мониторинга компании «Доктор Веб» было обнаружено поряд-
ка 600 экземпляров данного руткита, сколько их существует на самом деле неиз-
вестно. Дата сборки большинства – сентябрь или октябрь 2007 года. На распаков-
ку, детальный анализ и улучшение методов детектирования подобных экземпляров
вирусные аналитики «Доктор Веб» потратили несколько недель.
Даже если предположить, что руткит работает с октября 2007 года совершенно не-
видимо для антивирусов, можно сделать выводы о громадном количестве паразит-
ного трафика который он разослал. Спам превратился в серьезную общемировую
проблему, с которой приходится бороться каждый день. Пользователи жалуются на
утечку трафика, их личные почтовые ящики переполнены совершенно ненужной и
раздражающей информацией. Теряется время, тратятся деньги, расходуются не-
рвы. То, что у Rustock.C было столько времени действовать безнаказанно, не рискуя
быть пойманным антивирусом, означает, что никто не даст гарантии, что и ваша
машина не является частью одной из бот-сетей и не рассылает спам прямо сейчас.
[B]Некоторые технические характеристики руткита[/B]
• имеет мощный полиморфный протектор, затрудняющий анализ и распаков-
ку руткита;
• реализован в виде драйвера уровня ядра, работает на самом низком уров-
не;
• имеет функцию самозащиты, противодействует модификации времени ис-
полнения;
• активно противодействует отладке: контролирует установку аппаратных то-
чек останова (DR-регистры); нарушает работу отладчиков уровня ядра: Syser,
SoftIce. Отладчик WinDbg при активном рутките не работает вообще;
• перехватывает системные функции неклассическим методом. Такие функ-
ции как:
. • NtCreateThread
. • NtDelayExecution
. • NtDuplicateObject
. • NtOpenThread
. • NtProtectVirtualMemory
. • NtQuerySystemInformation
. • NtReadVirtualMemory
. • NtResumeThread
. • NtTerminateProcess
. • NtTerminateThread
. • NtWriteVirtualMemory
• работает как файловый вирус, заражая системные драйверы;
• конкретный экземпляр руткита привязывается к оборудованию зараженного
компьютера. Таким образом, на другом компьютере руткит с большой веро-
ятностью работать не будет;
• имеет функцию «перезаражения», срабатывающую по времени. Старый за-
раженный файл при «перезаражении» излечивается. Таким образом, рут-
кит «путешествует» по системным драйверам, оставляя зараженным какой-
нибудь один.
• фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры
драйвера файловой системы и подставляет оригинальный файл вместо за-
раженного;
• имеет защиту от антируткитов;
• имеет в составе библиотеку, внедряемую в один из системных процессов ОС
Windows. Данная библиотека занимается рассылкой спама. Для связи драй-
вера с DLL используется специальный механизм передачи команд.

[B]Выводы[/B]
Сразу после обнаружения этого руткита вирусописателями следует ожидать всплеск
подобных технологий и внедрение их во вредоносные программы.
На текущий момент, кроме антивируса Dr.Web, ни один современный антивирус
не детектирует Rustock.C. Также ни один антивирус, кроме антивируса Dr.Web, не
лечит зараженные им системные файлы. Тем, кто не является пользователем Анти-
вирус Dr.Web, рекомендуется скачать бесплатную лечащую утилиту Dr.Web CureIt! и
произвести проверку компьютера.
Закончить статью хотелось бы фразой, которая стала популярной в 90-х годах. Се-
годня она посвящается автору Rustock: «Все что может быть запущено, может быть
сломано».
[RIGHT]Вирусный аналитик
Русаков Вячеслав Евгеньевич
Компания «Доктор Веб»[/RIGHT][/quote]

Некоторая информация, которая известна мне :
1) Автор рустока _никогда_ не называл свои версии буквами, русток.а он назвал русток 1.0, так называемый русток.б у него, вроде бы, назывался версией 1.2
2) Насколько я знаю, автор бросил писать зловреды, или вообще бросил программирование как таковое.

---
В "выводе" громкие слова больше похожи на пиар, чем на правду =))
Кстати как кюрит собирается лечить, если он работает без перезагрузки. (не знаю, ставит ли он свой драйвер или нет.)

[quote=Surfer;224140]Кстати как кюрит собирается лечить, если он работает без перезагрузки. (не знаю, ставит ли он свой драйвер или нет.)[/quote]
Вот как раз курилка работает с перезагрузкой :)

[QUOTE=Surfer;224140]Некоторая информация, которая известна мне :
1) Автор рустока _никогда_ не называл свои версии буквами, русток.а он назвал русток 1.0, так называемый русток.б у него, вроде бы, назывался версией 1.2
2) Насколько я знаю, автор бросил писать зловреды, или вообще бросил программирование как таковое.[/QUOTE]

вместе пиво пили? :) об этом знает весь рунет, гугл рулит :) а статью стоит внимательно читать, тогда бы и писать не пришлось этот пост.

[QUOTE]
---
В "выводе" громкие слова больше похожи на пиар, чем на правду =))
Кстати как кюрит собирается лечить, если он работает без перезагрузки. (не знаю, ставит ли он свой драйвер или нет.)[/QUOTE]

абзац ни очем. не стоит писать того чего не понимаешь.

[quote=devon;224147]а статью стоит внимательно читать, тогда бы и писать не пришлось этот пост.[/quote]
Прочитал всю, на скрине видно что там не цифровое обозначение, вывод напрашивается сам.

По поводу перезагрузки CureIt!
Совсем недавно вышла новая версия сканера (соответственно, она же и в CureIt!), которая и работает с перезагрузкой, и перезагрузка может быть управляемой пользователем. См. скриншот.

[QUOTE=Surfer;224140]Кстати как кюрит собирается лечить, если он работает без перезагрузки. (не знаю, ставит ли он свой драйвер или нет.)[/QUOTE]
И перезагружается, и драйвер ставит. Все, что надо - делает. :)

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

[QUOTE=Surfer;224149]Прочитал всю, на скрине видно что там не цифровое обозначение, вывод напрашивается сам.[/QUOTE]
И? Какой же вывод?

[quote=borka;224373]И? Какой же вывод?[/quote]
Вывод : не стоило называть его рустоком, слишком громко звучит. :)

[QUOTE=Surfer;224499]Вывод : не стоило называть его рустоком, слишком громко звучит. :)[/QUOTE]
Ну и как его нужно было назвать? ;)

Да как угодно, только не рустоком.
Кстати читал руткитс.ру, там пишут что авира его ловила ещё в 2007 году %)

И вебвошер его ловил тогда же.

Ищут пожарные, ищет милиция...
Смотрим на сайте [url]http://stat.drweb.com/[/url] статистику по обнаруженным вредоносным программам в файлах (не в почте) с момента добавления в базы Win32.Ntldrbot:
[quote]
1 Trojan.Okuks.30 450091 (84.29%)
2 BackDoor.Generic.1138 55597 (10.41%)
3 Win32.HLLM.Generic.440 10019 (1.88%)
...
754 Tool.DiskHide 1 (0.00%)
[/quote]
Win32.Ntldrbot [b]ни одного[/b]...

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Сначала написал, а потом подумал:
- Скорее всего эта статистика идет со станций с AV-Desk.
- AV-Desk основан на Dr.Web Enterprise Suite.
- DwShield - антируткит-технология Dr.Web не работает в Enterprise Suite.

[QUOTE=AndreyKa;224672]Ищут пожарные, ищет милиция...
Смотрим на сайте [url]http://stat.drweb.com/[/url] статистику по обнаруженным вредоносным программам в файлах (не в почте) с момента добавления в базы Win32.Ntldrbot:
Win32.Ntldrbot [b]ни одного[/b]...[/QUOTE]
Надеюсь, никто не станет отрицать, что Win32.Ntldrbot в базах таки есть?

[QUOTE=AndreyKa;224672]
- Скорее всего эта статистика идет со станций с AV-Desk.
- AV-Desk основан на Dr.Web Enterprise Suite.
- DwShield - антируткит-технология Dr.Web не работает в Enterprise Suite.[/QUOTE]
Да, похоже на то.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=Surfer;224644]Да как угодно, только не рустоком.
Кстати читал руткитс.ру, там пишут что авира его ловила ещё в 2007 году %)[/QUOTE]
Ловила тогда и ловит сейчас? ;)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=DVi;224659]И вебвошер его ловил тогда же.[/QUOTE]
Ловил тогда и ловит сейчас? ;)

Нашел [url=http://www.virustotal.com/ru/analisis/f3c4811ee9c7129dbabec54356805a62]ссылку[/url] с результатом проверки на VT.
Её [b]sergeyko[/b] выложил.

[QUOTE=AndreyKa;224699]Нашел [url=http://www.virustotal.com/ru/analisis/f3c4811ee9c7129dbabec54356805a62]ссылку[/url] с результатом проверки на VT.
Её [b]sergeyko[/b] выложил.[/QUOTE]
[url]http://www.anti-malware.ru/forum/index.php?showtopic=4564&view=findpost&p=37568[/url]

ну если на вирустотале засветился, значит скоро будет этот русток у других вендоров :)
поживем - увидим (с)

[QUOTE=Groft;224769]ну если на вирустотале засветился, значит скоро будет этот русток у других вендоров :)[/QUOTE]
Интересно будет узнать у авиры и вебвошера, почему детект 2007 года пропал...

все просто - это новая модификация вируса :)

[QUOTE=DVi;224659]И вебвошер его ловил тогда же.[/QUOTE]
Правильнее называть вебвашер.
Это немецкий антивирус, и произношение названия тоже немецкое.

Хотелось-бы линк с вирустотала увидеть с отловленным рустоком...
Сорри за оффтоп, но где можно скачать и протестить вебвашер?
Как показала практика использования вирустотала, очень не плохой детект и эвристика у него.
Пост написал раньше, чем ссылка на вирустотал открылась...

[url]http://www.virustotal.com/ru/analisis/f3c4811ee9c7129dbabec54356805a62[/url]

ЗЫ: См. также детект MBR руткита:
[url]http://www.virustotal.com/ru/analisis/3433b6cf263ade5d536bf113cd6907c0[/url]
а этому экземпляру уже скоро две недели. Многие уже явно и не пытаются детектить - нет смысла, троянский MBR сектор всё равно не видят.

Если я не заблуждаюсь, вебвашер недоступен домашним пользователям, это корпоративный продукт.

[QUOTE=Groft;224844]все просто - это новая модификация вируса :)[/QUOTE]
Меня пытаются уверить, что это [b]старая[/b] версия, которую ловили все кому не лень еще в прошлом году. :) Вот и интересно. ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Alexey P.;224878]Многие уже явно и не пытаются детектить - нет смысла, троянский MBR сектор всё равно не видят.[/QUOTE]
А может, и нет никакого BackDoor.MaosBoot ? :) А это очередной пиар? :)

[QUOTE]Z:\NewProjects\spambot\last\driver\objfre\i386\driver.pdb[/QUOTE]
:D:D:D
грязный пиар )))

[url]http://www.rootkits.ru/viewtopic.php?pid=4931#p4931[/url] ( Мат included, детям не ходить :) )
Что это за x80368 ? это некто известный ранее под ником [B]евел_пхентези[/B], который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
---

Жёстко, но, видимо, справедливо:
[quote]Вся та истерика, что наблюдается сейчас на форумах типа virusinfo.info, wilderssecurity, rootkits радует глаз[/quote]
[url]http://www.anti-malware.ru/forum/index.php?showtopic=4564&view=findpost&p=37575[/url]

[quote=Alexey P.;224878] ЗЫ: См. также детект MBR руткита:
[URL]http://www.virustotal.com/ru/analisis/3433b6cf263ade5d536bf113cd6907c0[/URL]
[/quote] А дроппер от него есть?

[QUOTE=Wordmonger;226000]А дроппер от него есть?[/QUOTE]
В паблике- нет. Пока...

[QUOTE=Surfer;225140][url]http://www.rootkits.ru/viewtopic.php?pid=4931#p4931[/url] ( Мат included, детям не ходить :) )
Что это за x80368 ? это некто известный ранее под ником [B]евел_пхентези[/B], который настолько боится, что сидит, наверно через 10 проксей. Но он либо соавтор данного "руткида", либо близко с ним знаком, форум на антималвари это доказывает.
---[/QUOTE]

Surfer не соглашусь с Вами евел_пхентези - не похож он на трусливого товарища. Чтоб сидеть под 10 проксями ни чего особо страшного и позорного не вижу, для того чтоб под ними сидеть нужно их еще найти ;) особенно под действительно анонимными! Ну а что же касается ников то любой в праве его сменить! Ну, а то чтоб узнать о его авторстве или соавторстве думаю оптимальный вариант будет спросить у него самого;) если конечно он ответит...
Ну и конечно же о том что "ищут пожарные ищут милиция...." Если цель поставлена она будет найдена все зависит от того кем она поставлена и насколько правильно! Что написано на антималваре еще ни чего не доказывает :) ИМХО!

Собственно не суть. Можно и за Tor сидеть.
Наверно насчёт пиара я неправ, но мне что-то не удаётся найти данный руткит ITW.
Уже попросил многих своих знакомых, друзей, просканил рабочие тачки - нет его.
Странно.
---
Кстати мой запрос про дроппер удалили :)

[url]http://www.viruslist.com/ru/analysis?pubid=204007614[/url]

[quote=Username;235517][URL]http://www.viruslist.com/ru/analysis?pubid=204007614[/URL][/quote]
Вобщем, DrWeb дураки и идиоты, их продукт дерьмо, а ЛК круть и куль :) Прикольно, блин.

Не знаю кто дурак а кто умный, но прес-релиз у ЛК круче...

В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.

[QUOTE=santy;235548]Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, [/QUOTE]
да и статья написана еще год назад:
[QUOTE]К сожалению, даже в настоящие время ([B]начало июня 2007 года[/B]) некоторые антивирусные продукты по-прежнему не ловят Agent.ddl.

Загрузчик[/QUOTE]
:D

[quote=santy;235548]В соревновательности между ЛК и ДрВеб есть что-то от спортивного азарта. Интересно, был бы второй пресс-релиз, если бы не было бы первого? Ведь детект загрузчика Рустока.С как видно из отчета был еще в сентябре 2007, а следовательно, за эту ниточку потянули, и потянули давно.[/quote]
Ну, если бы докторовцы не написали свой релиз, так бы всё тихо и закончилось.
Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало :)

[QUOTE=Kuzz;235551]да и статья написана еще год назад:[/QUOTE]

Ага :) И сейчас по внутреннему календарю ЛК как минимум осень 2008 года

[QUOTE]Варианты C3 и С4 относятся к [b]9-10 октября 2008 года[/b]. Их размер варьирует в пределах 158 400 — 158 496 байт.[/QUOTE]

Если убрать из статьи стандартную рекламную воду, то всё правильно. Авторам - респект.
Кстати, а кто автор(ы) ?

Самое существенное в статье, на мой взгляд:
1. Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
На то время это были:
yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
Затем
vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания :).

2. Очень интересно предположение о том, что разработчик/заказчики Rustock.C перешли на буткиты. Действительно, очень похоже на то.

3.
[QUOTE]
Возможность детектирования активного руткита в зараженной системе и лечения зараженных файлов полностью реализована в новой версии нашего антивируса — KAV\KIS 2009. Пользователи других версий могут проверить свои компьютеры на наличие Rustock при помощи Rescue Disk с любой версией нашего антивируса.
[/QUOTE]
Тоже всё правильно и честно.
Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут. Если не используют DrWeb CureIt, конечно :).

[quote=Alexey P.;235569] Нашли древний загрузчик Rustock.C, оценили масштабы его раздачи - масштабы впечатляют, сайты "Darkgt Iframedollars" действительно не знает только ленивый.
На то время это были:
yaspftqlyr.hk, ybdjmiphev.hk, ychxrexurx.hk, ydqwvsamov.hk, yeyjmaoumc.hk, yfxyqhbqcg.hk, ygyyqtqeyp.hk, yhbcrffjpa.hk.
Затем
vaavrqoavy.net, vbfpfahnnd.net, vclizwkved.net, vdfbgjrfii.net, veyyhlucwa.net, vfbncjwsrl.net, vgtviqbmuw.net, vhrzpdpzwi.net.
Обе серии доменов распространяли упомянутый в статье загрузчик Rustock.C.
Правда, упомянутого в статье файла loadadv351.exe быть не могло - нумерация у них с 400 до 799. И любой из 400 загрузчиков тащил этот упомянутый загрузчик Rustock.C - Trojan-Downloader.Win32.Agent.ddl.
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания :).[/quote]
Насчет loadadv351.exe сказать трудно, но у меня автоматикой был отловлен Trojan-Downloader.Win32.Agent.ddl, что говорит о его распространенности в ITW. Дата отлова в моем случае = 11.09.2007, файл запакован (пакер похож на тот, что применен в рустоке.с, размер 28 кб). На момент отлова он проходил у меня стандартную процедуру изучения, показавшую, что он дропает свой драйвер размером 25 кб на диск под бредовым именем (причем интересно дропает - через админшару на локал-хосте, и напрямую), после чего регистрирует драйвер и загружает его через стандартное API. У меня на исследовании рустока C он не затащил, и был похоронен в коллекции как еще один злобный руткит.

[quote=ALEX(XX);235529]Вобщем, DrWeb дураки и идиоты, их продукт дерьмо.[/quote]
Вероятно, это Ваша собственная точка зрения, т.к. в статье не произносится таких слов и не делается подобных намеков.
[quote=ALEX(XX);235554]
Что интересно, КАВ детектировал в 2007 году то, чего по заверениям не существовало :)[/quote]
Загрузчик детектировался сразу же после появления. Но его никто не ковырял до упора. Обычный детект обычного даунлоадера.
[quote=Alexey P.;235569]
Видимо, просто в статье ошибка, такая же, как и 2007 год её написания
[/quote]
Уже исправлено. Спасибо, что заметили.
[quote=Alexey P.;235569]
Пользователи более старых версий ни обнаружить, ни тем более вылечить Rustock.C и многочисленные версии буткитов без загрузки с внешнего носителя не смогут.[/quote]
Старые пользователи старых версий не были подвержены заражению, т.к. загрузчик был давно остановлен. Новые пользователи старых версий, установившие антивирус на уже зараженную машину, действительно, не смогут обнаружить этот руткит, если не воспользуются входящим в состав антивируса диском аварийного восстановления.