Das Unternehmen «Doctor Web», der russische Entwickler von Informationsschutzmitteln unter der Marke Dr.Web, erklärt die Veröffentlichung der neuen Dr.Web-Scannerversion, die nicht nur den Win32.Ntldrbot (aka Rustock.C) detektiert, sondern auch wiederherstellt die von ihm verseuchten Systemdateien. Zu diesem Zeitpunkt detektiert den Win32.Ntldrbot noch keiner moderne Antivirus, ausser Dr.Web.

Nicht früher, als gestern hat die Welt ein trauriges Jubiläum gefeiert – dreißig Jahre dem Spam. Indem der Versand von den unerwünschten Meldungen – damals noch Briefen - den Weg von der lästigen Werbung des amerikanischen Schinken mit dem Namen SPAM bis heute durchgegangen hat, wurde er zu einem strengen weltumfassenden Problem. Viele von uns bemerken die seltsamen Datenverkehrsleckagen, und unsere Mailboxen sind, nach den Schätzungen von Fachleuten – fast аuf 90% von der ganz unnötigen und ärgerlichen Information gefüllt. Als eine von den Erklärungen für solch ein unerhörtes Spamniveau galt gerade Win32.Ntldrbot.

Die Hauptbestimmung von Win32.Ntldrbot ist, PC’s zu verseuchen, indem diese zu Bots werden, von denen nachher der Spam verschickt werden kann, und aus solchen verseuchten Computern Botnetze aufzubauen – die riesengrosse Netzwerke zum Versand vom Spam. Aber nicht nur zu verseuchen, sondern auch absolut unsichtbar zu bleiben. Was dieser Rootkit mit Erfolg machte – vermutlich vom Oktober 2007!

Mit dem Probelauf von den neuen Technologien des Abfangens von den Funktionen der Netzwerktreiber und von den Techniken der Tarnung von sich selbst im System hat der Rootkitverfasser Ende 2005 – Anfang 2006 begonnen, als die ersten Betaversionen davon erschienen. In demselben Jahr 2006 erschien die Version Rustock.B, die es erlaubte, die Firewalls umzugehen und den Spamdatenverkehr zu verstecken. Es war keine ernste Aufgabe für die Antivirusvendors, die ersten Versionen vom Rootkit zu besiegen.

Aber mit der nächsten Version von Rustock ist es schief gelaufen: sein Muster wurde weder von den Antivirusunternehmen, noch von den Virusverfassern entdeckt. Nach dem Prinzip «kein Opfer – kein Verbrechen» hat die Mehrheit der Antivirusvendors eine solche Stellung genommen: «Wenn sogar wir ihn nicht sehen (nicht entdeckt haben), bedeutet es, dass er nicht existiert. Das ist ein Mythos!»

Aber es zeigte sich, dass Win32.Ntldrbot kein Mythos ist.

Nicht alle Antiviruslabors haben die Suche aufgegeben, und sie hat endlich zum Ergebnis geführt. Es waren anderthalb Jahre vergangen und Win32.Ntldrbot war von den Analytikern des Unternehmens «Doctor Web» am Anfang des Jahres 2008 gefunden. Alle diese Zeit hat er gearbeitet, Spam verstreut. Wenn man bloß annimmt, dass der Rootkit vom Oktober 2007 ungerügt funktioniert und gänzlich unsichtbar für die Antiviren ist, kann man die Schlussfolgerungen ziehen, um was für enorme Anzahl des Parasiten-Datenverkehrs es sich handelt.

Der Virusmonitoringdienst vom Unternehmen «Doctor Web» hat etwa 600 Exemplare von diesem Rootkit entdeckt. Wieviel es tatsächlich in der ganzen Welt gibt, ist es unbekannt. Einige Wochen der fuseligen Arbeit waren auf die Entpackung, Detailanalyse und Vervollkommnung der Detektierungsmethoden von diesen Exemplaren verstrichen.

Einige technischen Merkmale von Win32.Ntldrbot:

• Der Rootkit besitzt den kräftigen polymorhen Protektor, der die Analyse und die Entpackung des Rootkits erschwert.
• Er ist als Treiber des Engine-Niveaus realisiert und funktioniert auf dem niedrigsten Niveau.
• Er hat die Selbstschutzfunktion und verhindert die Modifizierung der Ausführungszeit.
• Er verhindert aktiv die Entstörung: Er kontrolliert die Installation der Hardware-Stoppunkte (DR-Register); stört die Funktion der Debugger des Engine-Niveaus: Syser, SoftIce. Der Debugger WinDbg beim aktiven Rootkit funktioniert gar nicht.
• Er fängt die Systemfunktionen mit einer nicht klassischen Methode ab.
• Er funktioniert wie ein Dateivirus, indem er die Systemtreiber verseucht.
• Das konkrete Exemplar des Rootkits wird an die Hardware des verseuchten Computers gebunden. So wird auf dem anderen Computer derselbe Rootkit mit einer grossen Warscheinlichkeit nicht funktionieren.
• Er hat die Neuverseuchungsfunktion, die nach einer Zeit anspricht. Die alte verseuchte Datei wird wiederhergestellt. So «wandert» der Rootkit durch die Systemtreiber, indem er nur irgendeinen als verseucht lässt.
• Er filtert die Ansprechungen der verseuchten Datei, indem er die FSD-Prozeduren des Treibers des Dateisystems abfängt und die Originaldatei statt der verseuchten untersetzt.
• Er hat den Antirootkitschutz.
• Er hat eine Bibliothek, die in einen Systemvorgang implementiert wird. Diese Bibliothek befasst sich mit der Spamverstreuung.
• Zur Verbindung des Treibers mit der DLL wird ein Sondermechanismus der Befehlsübergabe verwendet.

Die Tatsache, dass beim Win32.Ntldrbot soviel Zeit war, um ungerügt zu funktionieren, ohne von einem Antivirus abgefangen zu sein, bedeutet, dass niemand eine Garantie stellt, dass auch Ihr Computer nicht ein Teil von den Botnetzwerken ist und gerade jetzt Spam verstreut. Wenn Sie kein Benutzer vom Dr.Web-Antivirus sind, können Sie den Computer überprüfen, und Systemdateien, die durch Rustock.C verseucht sind, mit Hilfe der kostenlosen Wiederherstellungsroutine Dr.Web CureIt! wiederherstellen