Мирт и гуава: Эпизод 4

Несколько дней назад мы писали об обнаружении нового варианта руткит-компоненты червя Stuxnet, которая имела цифровую подпись не Realtek, а компании JMicron. Костин Раю в двух своих постах осветил эту ситуацию детально.

Средства массовой информации быстро подхватили новость, и интернет запестрел сообщениями в стиле «Обнаружен новый вариант червя». Однако все было не так просто.

Дело в том, что оставался неясным главный вопрос – а где, собственно, сам червь, из которого этот подписанный драйвер должен был появиться? То, что драйвер был создан 14 июля, могло означать существование в «дикой природе» совершенно нового варианта, возможно с новым функционалом.

Однако все наши попытки обнаружить дроппер или хотя бы второй драйвер руткита (их ведь должно быть два) не увенчались успехом.

Это еще больше запутывает всю историю, которая в последние дни практически окончательно свелась к двум версиям появления у злоумышленников сертификатов тайваньских компаний – к их краже при помощи троянской программы или работе инсайдера.

Тогда мы решили посмотреть на статистику детектирования Rootkit.Win32.Stuxnet.c (драйвер с подписью JMicron). Результаты были обескураживающими. Наша система KSN зафиксировала за три дня (с 20 июля) ДВА детекта данного модуля. Один в России и один на Украине.

По сравнению со статистикой детектов руткит-компонент, подписанных сертификатом Realtek, – это просто смешно.

Так или иначе, Verisign отозвал данный сертификат JMicron, и он больше не действителен. В нашей allowlisting-базе содержалось 124 подписанных им уникальных приложения. Все они, конечно, были «чистые».

Я пока не берусь делать выводы о происхождении этого мистического драйвера. То, что он является измененным вариантом руткит-драйвера mrxcls.sys – несомненно. Но то, что он должен запускать на зараженных компьютерах — остается в розыске.
Так же как и зараженные им компьютеры 🙂

Если же обратиться к статистике распространения «основного» варианта Stuxnet, то мы можем констатировать факт продолжения эпидемии в Индии, Иране и Индонезии. Число зараженных компьютеров каждый день увеличивается примерно на тысячу, и это только верхушка айсберга, которую мы видим при помощи KSN.

Стоит отметить, что в число стран, в которых Stuxnet тоже занимает заметные позиции, входят Афганистан и Азербайджан (в каждой из них отмечено более 1000 зараженных систем).

Ареал распространения угрозы заставляет о многом задуматься…