MRxNet.sys (Rootkit.Win32.Stuxnet) является одним из основных модулей
участвующих в процессе заражения системы вирусом Stuxnet. Этим модулем
заинтересовался студент из Египта, Амр Табет, он решил получить исходный код
Stuxnet, используя реверсинг.
С целью получения исходного кода руткита Stuxnet было произведено
дизассемблирование файла "mrxnet.sys" при помощи IDA Pro, а затем полученный код
был переписан на языке C++. Автор эксперимента утверждает, что ему удалось
получить программный код на 95% похожий на оригинал. Однако, полученный код при
повторной компиляции не обладает всеми функциями вируса, предположительно это
связано с использованием функций из сторонних библиотек. Результат эксперимента
Амр Табет опубликовал в своем
блоге. http://hackings.ru/11/Bin_Stuxnet-s_Rootkit-MRxNet-into_C_2011-2-6_13.54.rar
|