.
Сообщение об опасности поступило от компании LURHQ, поставщика услуг информационной защиты. Спустя несколько дней после первого сообщения LURHQ опубликовала детальный анализ одной из атак, в ходе которой устанавливается вариант Mocbot. Анализ гораздо детальнее, чем обычные отчеты, предоставляемые компаниями, специализирующимися на борьбе с вирусами и другими вредителями. Результат одновременно интересен и предоставляет образовательную ценность.
Специалисты LURHQ захватили и установили вредителя, построив небольшую криминалистическую сеть, чтобы изучить внутренние механизмы робота и связанного с ним сетевого робота (botnet). Тестовая сеть состояла из двух систем: одна была заражена роботом, а другая имитировала Internet для сбора криминалистических данных. Одной целью было обнаружить центр управления для сетевого робота. Другой целью было выяснить регистрационные данные для соединения с центром управления, чтобы ручное соединение, установленное системой сбора информации с этим центром, выглядело как соединение от обычного робота и не выдавало исследователя.
Для построения этих двух систем потребовалось применить ряд специализированных инструментов. В качестве зараженного клиента компания LURHQ использовала систему Windows. Вторая система выполняла роль "песочницы", то есть сервера в изолированной среде. Для "песочницы" использовался набор инструментов The Reusable Unknown Malware Analysis Net (Truman), который можно загрузить с http://list.windowsitpro.com/t?ctl=35FE5:21BD1. Truman выполнен на основе загружаемого образа Linux и располагает коллекцией сценариев, которые обеспечивают взаимодействие с вредителем для сбора данных.
Когда обе системы работали совместно, LURHQ обнаружила, что сетевой робот выдает роботу команду присоединиться к определенным каналам ретрансляции разговоров в Internet (IRC), а затем загрузить "троянского коня", который служит как посредник для пересылки спама. В данном случае, авторы спама помогают продавать порнографию, наручные часы и другой ширпотреб.
Описание LURHQ - хорошее поэтапное руководство по анализу вредных программ, поэтому прочитать его будет интересно всем, кто сам намерен заниматься анализом или хочет знать, как это делают профессионалы (http://list.windowsitpro.com/t?ctl=35FE3:21BD1)
Большую пользу в процессе анализа принес проект myNetWatchman, который собирает информацию из журналов безопасности участников и анализирует опасную активность, чтобы сообщить о ней соответствующему Internet-провайдеру в надежде, что тот примет меры.
Цель - сократить до минимума время соединения пораженной системы с Internet. Чтобы узнать больше о myNetWatchman и условиях участия в проекте, обратитесь по адресу http://list.windowsitpro.com/t?ctl=35FE1:21BD1