Wie jetzt auf viruslist.com veröffentlicht wurde, hat Kaspersky Mitte dieses Jahres ein neues Rootkit entdeckt bzw. analysiert. Das bereits 2006 (!) veröffentlichte Rootkit blieb nahezu 2 Jahre unentdeckt. Die Frage ist, warum? Eigentlich sind die Antiviren Hersteller relativ flott im aufspüren neuer Viren, Würmer und Rootkits. Sie nutzen dazu sogenannten Honeypots (also quasi eine “Falle” für Viren).
Das Rustock.С genannte Rootkit konnte sich jedoch erfolgreich vor all diesen Maßnahmen verstecken. Dies liegt vor allem an der extremen “Obfuskierung” des Codes.
Die Spezialisten von Kaspersky benötigten volle 5 Tage für die Entschlüsselung des Codes. Dieser war zusätzlich mit verschiedenen Schlüsseln verschlüsselt worden.
Die Analyse der Datei brachte an die 600 gepackten Dateien zum Vorschein, und alle mussten untersucht werden. Auch wurden diverse Modifikationen entdeckt, so gab es mehrere Varianten vom selben Rootkit (C1-C4).
Das zugehörige Botnet, welches durch dieses Rootkit aufgebaut wurde, war eines der größten Netze weltweit, so Kaspersky. Es wurde hauptsächlich für den Versand von Spammails genutzt, so konnte es zu seiner “Blütezeit” bis zu 30 Milliarden Spammails am Tag senden!
Ein Beispiel für die starke “Verwurstung” des Codes:
Aus einer Codezeile (Assembler) für einen einfachen Move-Befehl:
mov [eax], ecx
wurde folgendes:
push ebx
mov ebx, 0x03451b8c
sub ebx,eax
sub ebx, 0x03451b8c
neg ebx
mov [ebx], ecx
pop ebx
Für weitere gut Informationen lohnt ein Blick auf viruslist.com und kaspersky.com.
