Обнаружен абсолютно новый вид сетевого трояна

  uinc.ru, intrusec.com, www.eweek.com
  

Информационный портал eweek сообщает о том, что многие специалисты компьютерной безопасности крайне озабочены появлением абсолютно нового трояна, осуществляющего сетевое сканирование. Первыми его предварительный анализ осуществили господа из ISS (Internet Security Systems Inc.), которые определили его, как троян осуществляющий распределённое сканирование и содержащий также сетевого агента, деструктивные действия которого не активированы, однако (после анализа кода) было высказано предположение, что червь может быть доработан для выполнения деструктивных функций.

С лёгкой руки ISS червь получил название Stumbler. О действиях червя проинформировал мировой сетевое сообщество Dan Ingevaldson - глава компании ISS. Червь представляет собой Linux-бинарник, который "проживает" в директории /tmp. Произвольным образом выбрав IP-адрес и диапазон портов, троян осуществляет сканирование хоста, посылая SYN-пакеты, при этом источник посылки посылается подменённым (спуффинг). Одной из отличительных особенностей трояна, позволяющего идентифицировать посылку им сетевых пакетов является размер TCP-окна (TCP window size), равный 55808 байт. Этот размер заставил экспертов предположить, что первоначальным источником был Randex IRC-бот, однако затем было высказано мнение, что размер был выбран случайно.

В настоящий момент о трояне оповещены подразделения ФБР и Департамент Безопасности Отечества США (Department of Homeland Security). Первоначально присутствие подозрительной активности сетевого сканирования было замечено 16 мая. Также о предварительном анализе кода червя сообщила компания Intrusec, Inc., которая назвала его 55808 Trojan. Подробный анализ кода трояна можно посмотреть в источнике сообщения. Хотелось бы отметить, что в письме Intrusec утверждается, что этот тип червя представляет собой тип трояна 3-го поколения, идеи которого были описаны ранее Lancope.