В чем секрет непобедимости ботнета Storm
Имя Storm, под которым червь известен на Западе, ему дала финская антивирусная компания F-Secure, поскольку изначально бестия рассылала себя во вложениях к электронным письмам с заголовком "230 dead as storm batters Europe" ("230 погибших в результате бурь в странах Европы"). У Symantec червь значится как Trojan.Peacomm, у Sophos - Troj/Dorf и Mal/Dorf, у BitDefender - Trojan.Peed. А в "Лаборатории Касперского" и в F-Secure его называют W32/Zhelatin, что явно указывает на возможное происхождение этой заразы. В Сети также муссируются слухи о связи Storm с пресловутой полумифической криминальной сетью Russian Business Network. По инерции Storm называют "червём", хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль "DDoS-бота" - программы, используемой для проведения DDoS-атак.
Червь Storm, который небезосновательно считают главной вирусной проблемой веба, впервые всплыл ровно год назад, 17 января 2007 года. Уже через неделю появились сообщения, что Storm заразил более полутора миллионов компьютеров по всему миру, используя уязвимости, присутствующие практически в каждой версии Windows.
Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm - это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.
Узлы сети делятся на распространителей, "командные центры" и "рабочие" компьютеры, которые в обычном режиме просто выполняют приказы, но при надобности могут брать на себя функции деактивированных "командных центров" или распространителей. Вдобавок, по словам Шнайера, код вируса постоянно меняется, что затрудняет его обнаружение.
Меняются и способы распространения: всё начиналось с PDF-спама и рассылок по почте (причём колоссальных, - по оценкам различных специалистов ботнет может рассылать до нескольких миллиардов заражённых сообщений ежедневно), теперь в дело пошли спам в блогах и на форумах, а также мнимые рассылки с Youtube. Вдобавок создатели Storm активно и успешно используют социальную инженерию.
Наконец, как показала практика, авторы этой заразы пристально следят за попытками противодействовать и им самим, и прочим киберпреступникам, - так что ботнет, ассоциируемый со Storm, время от времени наносит удары по антиспамерским и антивирусным ресурсам и даже по личным страницам специалистов по безопасности. Налицо попытки запугать противников - очень в духе уличных бандитов, а также террористов и наименее солидных спецслужб.
В октябре, спустя десять дней после выхода вышеупомянутой статьи Шнайера, появились сведения, что владельцы Storm либо собрались распродавать по частям свою сеть, либо выращивают на продажу несколько новых, поменьше. Понятное дело, такое супероружие пойдёт на ура, причём не только у хакерских сообществ, но и у некоторых государств. Вспоминаются обвинения со стороны США и Великобритании в адрес китайских спецслужб, которые якобы пытались взламывать серверы государственных органов этих стран, а также история DDoS-атаки на Эстонию.
В декабре сеть Storm продолжала разрастаться, а в январе произошёл очередной всплеск активности червя. Единственный способ разделаться с огромным ботнетом - это найти и нейтрализовать создателей и операторов Storm. Техническими средствами его побороть невозможно, как невозможно отучить пользователей открывать заражённые ссылки в "информационных" письмах с заголовками типа "Кондолиза Райс дала пинка Ангеле Меркель".
www.securitylab.ru
23.01.2008 (15:06)
Спам атака, которая проводилась этим вирусам носила волновой характер и её быстро оседлали, да скорее до сих пор червь и существует, но антивирусные базы существенно обновили, так что такого массового распространения как в прошлом году уже не будет :)