В "Лаборатории Касперского" практически уверены, что Rustock - российское произведение. По словам ведущего антивирусного эксперта компании Сергея Голованова, спам-бизнес - практически полностью русский, к тому же именно так, как был написан Rustock, руткиты пишут только выходцы из СНГ.

Руткит - это основа Rustock. Троянец устанавливает его на компьютер жертвы первым делом. Руткит позволяет использовать заражённую машину в качестве скрытого прокси-сервера, который действует на случайно выбранном TCP-порту. Кроме того, программа предпринимает попытки связаться с серверами ftp.skystockfinance.cc, https.enjoyfit2006.biz и www2.firemonk2006.com для подгрузки дополнительных файлов и конфигурационной информации. Мало того, через TCP-порт 25 она могла обращаться к SMTP-хостам mxs.mail.ru, smtp.yandex.ru и maila.microsoft.com.

В июле 2008 года с разницей в несколько дней Symantec отрапортовал о ещё двух разновидностях троянца - Rustock.A и Rustock.B, причём по поводу второй было заявлено, что она использует усовершенствованный руткит для установки себя в систему и сокрытия своего присутствия. Обе версии были способны рассылать спам с заражённого компьютера.

А потом появились слухи о Rustock.c.

Его очень долго не могли обнаружить. Настолько долго, что всё чаще звучали голоса: а не миф ли это, ваш Rustock.c? Может, его просто не существуют, а антивирусы гоняются за химерой?

"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой новую версию вредоносной программы обнаружила российская антивирусная компания "Доктор Веб". Тут и выяснилось, что создатели Rustock прекрасно понимали, что они делают и какие средства будут применяться против их детища. Все версии спамбота были сходны между собой по функциональности, но у Rustock.c оказался самый хитрый механизм для игры в прятки.

Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.

Ещё один метод маскировки: Rustock.c то и дело "меняет партнёров". Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в "Доктор Веб", троян перехватывает системные функции "неклассическим методом". Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.

Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии "Лаборатории", распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.

"Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение, - сообщала "Лаборатория Касперского" в своё время. - Однако либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для "заливки" по каналам IFrameBiz был создан совершенно отдельный модуль". Новый загрузчик "Антивирус Касперского" детектирует как Trojan-Downloader.Win32.Agent.ddl.

С тех пор, как пояснил "Компьютерре" Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено - доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock - это "обычный, непропатченный, старый компьютер домохозяйки из США", работающий под Windows XP (это единственная операционная система, которую он заражает).

Интересно, что Rustock.c паразитирует на других ботнетах. "Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, - говорит Голованов. - Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера".