-
Год Storm: почему самый сложный ботнет остаётся непобедим
17 января 2008 года, 19:14
Текст: Юрий Ильин
Червь Storm, который небезосновательно считают главной вирусной проблемой веба, впервые всплыл ровно год назад, 17 января 2007 года. Уже через неделю появились сообщения, что Storm заразил более полутора миллионов компьютеров по всему миру, используя уязвимости, присутствующие практически в каждой версии Windows.
Имя Storm, под которым червь известен на Западе, ему дала финская антивирусная компания F-Secure, поскольку изначально бестия рассылала себя во вложениях к электронным письмам с заголовком "230 dead as storm batters Europe" ("230 погибших в результате бурь в странах Европы"). У Symantec червь значится как Trojan.Peacomm, у Sophos - Troj/Dorf и Mal/Dorf, у BitDefender - Trojan.Peed. А в "Лаборатории Касперского" и в F-Secure его называют W32/Zhelatin, что явно указывает на возможное происхождение этой заразы. В Сети также муссируются слухи о связи Storm с пресловутой полумифической криминальной сетью Russian Business Network.
По инерции Storm называют "червём", хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль "DDoS-бота" - программы, используемой для проведения DDoS-атак.
Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-"зомби" уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.
Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm - это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.
Узлы сети делятся на распространителей, "командные центры" и "рабочие" компьютеры, которые в обычном режиме просто выполняют приказы, но при надобности могут брать на себя функции деактивированных "командных центров" или распространителей. Вдобавок, по словам Шнайера, код вируса постоянно меняется, что затрудняет его обнаружение.
Меняются и способы распространения: всё начиналось с PDF-спама и рассылок по почте (причём колоссальных, - по оценкам различных специалистов ботнет может рассылать до нескольких миллиардов заражённых сообщений ежедневно), теперь в дело пошли спам в блогах и на форумах, а также мнимые рассылки с Youtube. Вдобавок создатели Storm активно и успешно используют социальную инженерию.
Наконец, как показала практика, авторы этой заразы пристально следят за попытками противодействовать и им самим, и прочим киберпреступникам, - так что ботнет, ассоциируемый со Storm, время от времени наносит удары по антиспамерским и антивирусным ресурсам и даже по личным страницам специалистов по безопасности. Налицо попытки запугать противников - очень в духе уличных бандитов, а также террористов и наименее солидных спецслужб.
В октябре, спустя десять дней после выхода вышеупомянутой статьи Шнайера, появились сведения, что владельцы Storm либо собрались распродавать по частям свою сеть, либо выращивают на продажу несколько новых, поменьше. Понятное дело, такое супероружие пойдёт на ура, причём не только у хакерских сообществ, но и у некоторых государств. Вспоминаются обвинения со стороны США и Великобритании в адрес китайских спецслужб, которые якобы пытались взламывать серверы государственных органов этих стран, а также история DDoS-атаки на Эстонию.
В декабре сеть Storm продолжала разрастаться, а в январе произошёл очередной всплеск активности червя. Единственный способ разделаться с огромным ботнетом - это найти и нейтрализовать создателей и операторов Storm. Техническими средствами его побороть невозможно, как невозможно отучить пользователей открывать заражённые ссылки в "информационных" письмах с заголовками типа "Кондолиза Райс дала пинка Ангеле Меркель".
compulenta.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
прочитал 2 раза но так и не понял почему ботнет непобедим
-
Угу, имхо статья "чтобы было". Ничего не сказано. У него есть определённая централизация, вывести из строя его не невыполнимая задача.
-
-
Сообщение от
Surfer
У него есть определённая централизация
и что? Уничтожишь один центр – другой появится.
-
-
Безусловно, но всё можно выследить..
-
-
раз кто-то компьютером командует, значит односторонняя связь с ним есть... значит отследить все-таки можно...
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Можно-то можно, но не так просто, как кажется. Вы представляете, что такое Интернет? А поймаете одного командующего – появится другой. Хотя это на самом деле может быть и не предусмотрено.
-
-
Сообщение от
ScratchyClaws
раз кто-то компьютером командует, значит односторонняя связь с ним есть... значит отследить все-таки можно...
Можно. Но до первого провайдера, который откажется выдать логи.
-
ДА просто ломануть эту сеть и форматнуть все компы на которых червь. Там же как пить дать шел одна из опций
-
-
В спам на гмыле падает много ссылок в виде айпишников http://99.142.66.*, там постоянно выкладывают новые версии, либо закриптованные старые =))
Это видимо просто заражённые машины с мини-http сервером
Вопрос - как массово бороться с ними ? =) В голову толком ничего не приходит.
-
-
Junior Member
- Вес репутации
- 60
Очень интересная тема, но трудно думать как с ним бороться незная, что там внутрях у него. Может кто скинет в ПМ ссылку дропер Storm'a для исследования ?
-
Из последнего 71.79.181.56 =)
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
Surfer
Из последнего 71.79.181.56 =)
Эх... не успел. Может у кого есть бинарник ? А то у меня невезучка на хватание вирусов Не спам не приходит, не натыкаюсь на сайты с сплоетами нничего толкого не приходит, вообщем крокодил не ловится не растет кокос.
-
Поставь себе isbar, думаю, он сторма сам найдёт и подцепит.
-
-
76.25.161.130 пока работает, но я абузнул и наверно скоро прикроют
-
-
Junior Member
- Вес репутации
- 60
Успел, спасибо. Бегло просмотрел, бот почти не скрывается думаю для антиврусов поймать этого бота как 2 байта передать Особенно улыбнул хит IsDebuggerPresent Буду изучать подробнее. Интересно в чем же сила этого 128 кб монстра.
-
Сообщение от
FoBE
Успел, спасибо. Бегло просмотрел, бот почти не скрывается думаю для антиврусов поймать этого бота как 2 байта передать
Кого поймать? Бота? Это, к сожалению, лишь ма-а-аленькая его частичка...
Сообщение от
FoBE
Интересно в чем же сила этого 128 кб монстра.
Сила - в массе.
-
Junior Member
- Вес репутации
- 60
Сообщение от
borka
Кого поймать? Бота? Это, к сожалению, лишь ма-а-аленькая его частичка...
В смысле маленькая ? Я так понимаю что это сам бот ? или он скачивает еще модули какие-то для работы ?
Поймать в смысле найти сигнатуры по которым, на комьютерах пользовтелей, антивирус сможет его найти и обезвредить. Cоответсвенно уменьшится и сам ботнет :-)
Сообщение от
borka
Сила - в массе.
Не подумайте ничего плохого, у меня тема защиты "иновации в антивирусных технологиях" соответсвенно пытаюсь изучить все текущие угрозы(связанные с "вирусами") и придумать как с ними боротся. У этого код очень муторый, он или морфится примитивнейшим криптором или автор извращенец. + испорченна таблица иморта и что самое интересно работать он будет только под линейкой XP, 2000, Vista(?) так как многих используемых апи небыло в пердидущих версиях Windowzzz о чем с радостью сообщает МСДН. Еще небыло времени детально изучить, но потрейсив немного в Оле напал на SEH т.е не все так просто как показалось изначально. и не понятно то ли этот код сгенерирован компилятором с высокой оптимизацией то ли автор гуру ассемблера используются различные редкие комманды по которым собственно можно составить сигрнатуры(хотя возможно это действия полиморфного обработчика) не думаю что компилятор будет ставить 10 nop'ов и множество инструкций для перекидывания данных из регистра в другой регистр или стэк и обратно ничего при этом не меняя.
Последний раз редактировалось FoBE; 25.01.2008 в 14:59.
-
Да штормик вообще слаб в плане сокрытия присутствия.
Как руткит вообще он неинтересен.
Популярен из-за масс-спама.
Кстати куда делся сризби, задача которого выносить шторм ? =)
-