Специалист по вредоносному ПО разобрал очень продвинутое средство
преступлений, которое предположительно принадлежит пресловутой Russian
Business Network.
Пошаговая
инструкция по реверс-инженерингу руткита ZeroAccess – это серьезный удар по
его разработчикам, которые приложили немало усилий для того, чтобы их детище не
подверглось подобному анализу. Это руководство поможет другим исследователям,
занимающимся руткитом, выйти на людей, которые за ним стоят, а также успешнее
разрабатывать средства защиты от него.
Разбор был написан Жузеппе Бонфа, исследователем вредоносных программ,
занимающемся реверс-инженерингом в InfoSec Institute (компания предоставляет
услуги информационной безопасности). Анализ описывает руткит, который
практически невозможно удалить, не повредив при этом операционную систему,
использующий низкоуровневый программные вызовы для создания разделов на жестком
диске, которые очень трудно засечь обычными способами. Описание трояна от Sohpos,
который называет его Smiscer, можно найти
здесь.
"Документ раскрывает принцип работы руткита, использующего очень продвинутые
технологии", - написал Пьер-Марк, исследователь Eset. "Он очень полезен в плане
изучения руткит технологий, показывая как они функционируют, как инсталлируются
в систему, и как их можно засечь".
Согласно Бонфа, вредоносные URL, обнаруженные в результате изучения руткита,
используют IP адреса, связанные с Russian Business Network. ZeroAccess на данный
момент используется как платформа для установки фальшивых антивирусных программ,
хотя очевидно, что он мог бы использоваться для установки любого другого ПО.
