Мирт и гуава: Эпизод 3

География распространения загадочного Stuxnet примечательна не меньше, чем он сам.

Мы детектируем руткит-компоненты (подписанные драйвера) как Rootkit.Win32.Stuxnet, а прочие файлы как Trojan-Dropper.Win32.Stuxnet.

За последние 4 дня система Kaspersky Securty Network зафиксировала более 16 000 пользователей по всему миру, на компьютерах которых были обнаружены компоненты троянца (которого на самом деле следует считать червем – из-за распространения на флешках).

Если посмотреть на эту статистику, нанесенную на карту мира, то станет видно, что центрами эпидемии являются три страны – Иран, Индия и Индонезия (все три на букву «И», забавно).

В каждой из этих стран число зафиксированных KSN инцидентов превышает 5000. Для сравнения – в России около 150, а в Китае всего лишь 5.

Объяснение такой географии довольно сложно, но должно в первую очередь базироваться на факте распространения Stuxnet на флешках. Такой путь не является самым быстрым, но, с другой стороны, может обеспечить вирусу весьма долгий срок существования (как мы видим это на примере вируса Sality, который также распространяется на съемных накопителях).

Очевидно, что пока еще эпидемия не вышла за пределы азиатского региона.

Но возможно, эта же география поможет установить и причину наличия подписанных руткит-компонент?

Конечно, конспирологические теории - не самое благодарное дело, но паранойя – это профессионально для it-security. Поэтому позволю себе высказать следующие две гипотезы.

Realtek является «железячной» компанией, и написание софта для своих устройств - это побочный процесс, для которого оптимальней всего - использование аутсорсеров. А какая страна является всемирным лидером по аутсорсинговому программированию?

Может аутсорсер, создающий софт для компании, обладать средствами для «подписывания» программ сертификатом этой компании? Возможно, да.

Таким образом, можно сделать предположение, что вредоносная программа была создана именно в Индии (смотрите на карту) и, возможно, не без наличия инсайдера среди разработчиков приложений для Realtek.

Хотя, если строить предположения, то я бы не стал сбрасывать со счетов и вариант того, что данные драйвера на самом деле являются легальными драйверами, созданными компанией Realtek.

Да, обладающие руткит-функционалом и скрывающими от пользователя файлы вида ~WTRxxxx.tmp и *.lnk файлы, расположенные в корне сменного накопителя. Собственно, почему бы и нет?

Историю с руткитом XCP от компании Sony антивирусная индустрия помнит еще очень хорошо.

Ах да, я забыл кое-что важное :)

«Миртовые (лат. Myrt aceae) — семейство покрытосеменных растений, принадлежащее порядку Миртоцветные (Myrtales).К этому семейству относятся такие растения, как мирт, гвоздичное дерево, гуава, фейхоа, чайное дерево и эвкалипт.»

Название «Мирт и гуава» в этой серии постов использовано не просто так. В коде драйверов руткита содержится авторское название этого проекта:

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
Проект «Мирт», модуль «Гуава».

Продолжение следует?