Rustock
Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den
version , der blev gennemgået den 10. januar 2020; checks kræver
8 redigeringer .
Rustock er et rootkit og et botnet baseret på det. Rustock dukkede op i 2006 [1] . Botnettet fungerede indtil marts 2011 [2] .
Pc'er med 32-bit Microsoft Windows blev berørt . Spam blev sendt fra inficerede computere, hastigheden på dets distribution kunne nå op på 25 tusinde beskeder i timen [3] [4] . Rustock-botnettet indeholdt mellem 150.000 og 2 millioner inficerede computere.
Historie
Kaspersky Lab mener, at den udbredte udbredelse af Rustock-virussen begyndte den 10. september 2007 [5] .
I maj 2008 blev virussen opdaget. Efter et par dage blev det genkendt af flere antivirus [5] .
I 2008, på grund af den midlertidige nedlukning af McColo- hosting ( San Jose, Californien ), som havde nogle botnet-kontrolservere installeret, faldt botnet-aktiviteten [6] .
Botnettet blev ødelagt den 16. marts 2011 [2] som en del af en fælles operation "b107" [7] udført af Microsoft , føderale retshåndhævere, FireEye og University of Washington [8] .
I maj 2011 [9] udtalte Microsoft, at en person, der brugte kaldenavnet "Cosma2k" [10] var involveret i arbejdet med botnettet . Formodentlig var nogle af arrangørerne af botnettet i Rusland [11] .
I juni 2011 appellerede Microsoft til grundlæggerne af Rustock i aviserne Delovoy Peterburg og Moskovskiye Novosti og underrettede dem om deres retssag ved District Court of Washington State [12] .
Den 18. juli 2011 blev der annonceret en stor pengebelønning for information om skaberne af virussen [12] .
Internt arrangement
Hver inficeret computer fik regelmæssigt adgang til kontrolserverne. Interaktion med dem fandt sted ved hjælp af HTTP-protokollen og anmodninger af POST-typen. Alle data blev desuden krypteret ifølge Symantec ved hjælp af RC4-algoritmen . Udvekslingssessionen bestod af to faser: udveksling af nøgler og transmission af instruktioner. Nøgleudvekslingen fandt sted ved adgang til login.php-scriptet (klienten sendte 96 bytes, serversvaret var 16 bytes). Instruktionerne blev videregivet af data.php [13] scriptet .
Virusfilen består af [13] :
- Primært deobfucation modul 0x4AF bytes i størrelse
- Bootloader Rootkit (0x476 bytes)
- Rootkit-koder.
- Spam-afsendelsesmodul.
Rootkit - indlæseren bruger ExAllocatePool, ZwQuerySystemInformation, ExFreePool, stricmp-funktioner fra ntoskrnl.exe [13] .
Variationer
Der er også fundet 3 variationer af Rustock-virussen:
- Rustock.С1-variant - oprettet den 10. september 2007.
- Rustock.С2 variant - Oprettet den 26. september.
- Variant C3 og C4 - oprettet den 9.-10. oktober 2007.
Noter
- ↑ Chuck Miller. Rustock-botnettet spammer igen (utilgængeligt link) . SC Magazine US (25. juli 2008). Hentet 21. april 2010. Arkiveret fra originalen 15. august 2012. (ubestemt)
- ↑ 12 Hickins , Michael . Prolific Spam Network Is Unplugged , Wall Street Journal (17. marts 2011). Arkiveret fra originalen den 22. juli 2011. Hentet 17. marts 2011.
- ↑ Real Viagra salgskraft global spamflod - Techworld.com (downlink) . news.techworld.com. Hentet 21. april 2010. Arkiveret fra originalen 15. august 2012. (ubestemt)
- ↑ Rustock: M86 Security . Dato for adgang: 13. januar 2012. Arkiveret fra originalen 25. maj 2012. (ubestemt)
- ↑ 1 2 "Rustock og alt-alt-alt" (securelist.com)
- ↑ https://www.theregister.co.uk/2008/11/18/short_mccolo_resurrection/ Arkiveret 13. november 2017 hos Wayback Machine Dead-netværksudbyderen væbner Rustock botnet fra det hinsidige. McColo ringer til Rusland, mens verden sover]
- ↑ Williams, Jeff Operation b107 - Rustock Botnet Takedown (link utilgængeligt) . Hentet 27. marts 2011. Arkiveret fra originalen 15. august 2012. (ubestemt)
- ↑ Wingfield, Nick . Spam Network Shut Down , Wall Street Journal (18. marts 2011). Arkiveret fra originalen den 20. marts 2011. Hentet 18. marts 2011.
- ↑ Mistænkt for Rustock Botnet søgte job hos Google-Krebs om sikkerhed . Hentet 13. januar 2012. Arkiveret fra originalen 7. januar 2012. (ubestemt)
- ↑ Microsoft overdrager Rustock botnet-sagen til FBI Arkiveret 13. november 2011 på Wayback Machine "Ifølge CNET er Cosma2k lederen af Rustock-botnettet"
- ↑ "Microsoft: spor af arrangørerne af Rustock botnet fører til Rusland" Arkivkopi dateret 4. marts 2016 på Wayback Machine // CyberSecurity.ru "selskabet rapporterede, at i det mindste en del af Rustock-operatørerne er placeret i Rusland."
- ↑ 1 2 Microsoft lover $250.000 for "russiske bot"-data . Dato for adgang: 13. januar 2012. Arkiveret fra originalen 6. november 2011. (ubestemt)
- ↑ 1 2 3 Et casestudie af Rustock Rootkit og Spam Bot // HotBots
Links
Hackerangreb fra 2010'erne |
---|
Største angreb |
|
---|
Grupper og fællesskaber af hackere |
|
---|
enlige hackere |
|
---|
Opdaget kritiske sårbarheder |
- Heartbleed (SSL, 2014)
- Bashdoor (Bash, 2014)
- PUDLE (SSL, 2014)
- Rootpipe (OSX, 2014)
- JASBUG (Windows, 2015)
- Stagefright (Android, 2015)
- DROWN (TLS, 2016)
- Badlock (SMB/CIFS, 2016)
- Dirty Cow (Linux, 2016)
- EternalBlue ( SMBv1 , 2017)
- DoublePulsar (2017)
- KRACK (2017)
- ROCA (2017)
- BlueBorn (2017)
- Nedsmeltning (2018)
- Spectre (2018)
- Blue Keep (2019)
|
---|
Computervirus |
|
---|
2000'erne • 2010'erne • 2020'erne |