В чем секрет непобедимости ботнета Storm

image

Теги: Storm, червь, DDoS, ботнет

По мнению Шнайера, Storm - это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.

Червь Storm, который небезосновательно считают главной вирусной проблемой веба, впервые всплыл ровно год назад, 17 января 2007 года. Уже через неделю появились сообщения, что Storm заразил более полутора миллионов компьютеров по всему миру, используя уязвимости, присутствующие практически в каждой версии Windows.

Имя Storm, под которым червь известен на Западе, ему дала финская антивирусная компания F-Secure, поскольку изначально бестия рассылала себя во вложениях к электронным письмам с заголовком "230 dead as storm batters Europe" ("230 погибших в результате бурь в странах Европы"). У Symantec червь значится как Trojan.Peacomm, у Sophos - Troj/Dorf и Mal/Dorf, у BitDefender - Trojan.Peed. А в "Лаборатории Касперского" и в F-Secure его называют W32/Zhelatin, что явно указывает на возможное происхождение этой заразы. В Сети также муссируются слухи о связи Storm с пресловутой полумифической криминальной сетью Russian Business Network.

По инерции Storm называют "червём", хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль "DDoS-бота" - программы, используемой для проведения DDoS-атак.

Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-"зомби" уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.

Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm - это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.

Узлы сети делятся на распространителей, "командные центры" и "рабочие" компьютеры, которые в обычном режиме просто выполняют приказы, но при надобности могут брать на себя функции деактивированных "командных центров" или распространителей. Вдобавок, по словам Шнайера, код вируса постоянно меняется, что затрудняет его обнаружение.

Меняются и способы распространения: всё начиналось с PDF-спама и рассылок по почте (причём колоссальных, - по оценкам различных специалистов ботнет может рассылать до нескольких миллиардов заражённых сообщений ежедневно), теперь в дело пошли спам в блогах и на форумах, а также мнимые рассылки с Youtube. Вдобавок создатели Storm активно и успешно используют социальную инженерию.

Наконец, как показала практика, авторы этой заразы пристально следят за попытками противодействовать и им самим, и прочим киберпреступникам, - так что ботнет, ассоциируемый со Storm, время от времени наносит удары по антиспамерским и антивирусным ресурсам и даже по личным страницам специалистов по безопасности. Налицо попытки запугать противников - очень в духе уличных бандитов, а также террористов и наименее солидных спецслужб.

В октябре, спустя десять дней после выхода вышеупомянутой статьи Шнайера, появились сведения, что владельцы Storm либо собрались распродавать по частям свою сеть, либо выращивают на продажу несколько новых, поменьше. Понятное дело, такое супероружие пойдёт на ура, причём не только у хакерских сообществ, но и у некоторых государств. Вспоминаются обвинения со стороны США и Великобритании в адрес китайских спецслужб, которые якобы пытались взламывать серверы государственных органов этих стран, а также история DDoS-атаки на Эстонию.

В декабре сеть Storm продолжала разрастаться, а в январе произошёл очередной всплеск активности червя. Единственный способ разделаться с огромным ботнетом - это найти и нейтрализовать создателей и операторов Storm. Техническими средствами его побороть невозможно, как невозможно отучить пользователей открывать заражённые ссылки в "информационных" письмах с заголовками типа "Кондолиза Райс дала пинка Ангеле Меркель".


или введите имя

CAPTCHA
Страницы: 1  2  3  
20-01-2008 17:07:48
Тут где-то недавно были новости о том как вантуз супернадежен...
0 |
1
20-01-2008 17:35:57
Не гони, в качестве узла ботнета - нет ничего супернадёжней вантуза =)))) Особенно порадовало : ...используя уязвимости, присутствующие практически в каждой версии Windows. Мде... в виндовс всего 123 уязвимости (против 400 там с чемто в RH), правда в вантузе они по наследству передаються =))) - от поколения к поколению такскать...
0 |
1
20-01-2008 17:45:32
Мде... в виндовс всего 123 уязвимостиизвестных и каждый уважающий себя х.. кодер имеет в заначке свою собственно наюзанную, на всякий случай
0 |
1
21-01-2008 13:22:04
вот что бывает когда люди бездумно выбирают затрояненный микрософт
0 |
1
20-01-2008 18:46:08
присутствующие практически в каждой версии WindowsЕдинственный способ разделаться с огромным ботнетом - это Немедленний вендекапец !
0 |
1
20-01-2008 19:12:58
Впечатляет...такой шедевр наверянка писался не одним кул-хацкером. Особенно порадовала чёткая структура сети. Ну что....респект написавшим уже за тот труд, который они совершили, создав детище.
0 |
1
21-01-2008 10:31:27
Их бы детище, да в мирные нужды. институты и научно-иследовательские центры тратят милионы а то и милиарды чтобы поиметь хоть какую то вычислительную мощь, а тут считай халява, почти добровольная.
0 |
1
20-01-2008 19:23:37
Порадовало разнообразие заражения, изменение кода для усложнения обнаружения, знание структуры муравейника и социальной инженерии... Уважуха, реальные профи. Да и еще производительность больше чем суперкомпьютер...
0 |
1
20-01-2008 19:41:34
Да и сам червь написан на высшем уровне. Шифрование кода (TEA), антиэмуляция, анти-VM, отключает защиту системных файлов и патчит один из системных драйверов на диске. Загрузившись с этим драйвером из kernel-mode сканирует память процесса explorer.exe и патчит начало API функции PeekMessage кодом, который запускает основной процесс. каптча 55554
0 |
21-01-2008 01:36:47
это подначка?
0 |
1
21-01-2008 06:39:07
а с каких это пор антиэмуляция и определение виртуализатора есть высший пилотаж? это такой развесистый баян, что ему как бы не 10 лет с тех пор как Connectix VirtualPC и VMware появились. там всего-то штук 20 строк. ассемблерного кода. ибо нефиг пичкать виртуализатор гипервызовами. вон, в QEMU их нет - пойди, определи. разве только по характерному хардваре, но на это полагаться нельзя. а если у тебя установлен какой-нить самописанный гипервайзор, заточенный под SVM или VT-x, то вряд ли червяк об этом узнает. патченье системных драйверов и уход в кернел-мод - тоже классика жанра, а вот патчить PeekMessage в сексплорере - это как гланды удалять через анус. можно было и попроще. Шифрование тоже было еще во времена dos-полиморфиков. короче, кроме алгоритма работы сети - ничего ноухауного.
0 |
1
21-01-2008 09:36:19
патченье системных драйверов и уход в кернел-мод - тоже классика жанраты уже патчил системные дрова? патчить PeekMessage в сексплорере - это как гланды удалять через анус. можно было и попроще.Возможно это преследует какую-то цель. Исследование, которое я видел по storm.worm слишком поверхностное...
0 |
1
21-01-2008 09:56:17
ты уже патчил системные дрова? Пока - нет. Ибо пишу честные софтины, а не подлый малварь. И этим, положим до BluePill-а Жанны Рутковской мало кто занимался всерьез. Но по исходникам все понятно, и я думаю, буде приспичит мне пропатчить тот же null.sys, я думаю, у меня это вполне получится. Классика жанра имелось в виду, что прием обсосанный, вылизанный и внедренный. Возможно это преследует какую-то цель. Исследование, которое я видел по storm.worm слишком поверхностное... единственная цель, которую я тут могу предположить - "ленивый" возврат в ring-3 и запуск юзермодного кода, который должен работать в связке с ядерным, ибо любителей делать KeUserModeCallback катастрофически мало а вообще, правильный троян должен по совместительству работать либо супервайзором и патчить (инфицировать) ядро, либо гипервайзором - и создавать отдельную VM.
0 |
1
20-01-2008 19:29:03
2 линупсня: собака лает караван идет. От ваших подпукиваний линупс лучше не стал ))))
0 |
1
20-01-2008 20:21:28
угу. в биреакторе его уже ждут.
0 |
1
20-01-2008 22:03:44
Только вот жаль.... не дождуться... венда как была говноосью так и останется, в отлицие от Linux, который с каждым днем становится лучше стараниями тысяч разработчиков
0 |
1
21-01-2008 00:35:50
Только вот память жрёт линукс нехило бесят утечки Программисты наверное выпускники ПТУ
0 |
1
21-01-2008 08:45:48
Забористая травка отпусти тебя чудо трава... Первый раз услышал про утечку памяти в Linux... Может я что-то не так делаю? Linux годами на серверах без перезагрузки стоит, и что? Может ты попутал слегка? Не линукс - а венда? Особенно мелкомягкая свиста память любит, причем не хило...
0 |
1
21-01-2008 12:08:27
капец, капец, линукскапец++
0 |
Страницы: 1  2  3