Штормовой червь - Storm Worm

Не путать с W32 / Storm.worm.
Примеры писем с "Storm Worm" во вложении
Для получения информации о ботнете, состоящем из машин, зараженных этим червем, см. Штормовой ботнет.

В Штормовой червь (так назвал Финский Компания F-Secure ) это задняя дверь[1][2] троянский конь что влияет на компьютеры, использующие Microsoft операционные системы,[3][4][5] обнаружен 17 января 2007 г.[3] Червь также известен как:

Штормовой червь начал атаковать тысячи (в основном частные) компьютеры в Европа и Соединенные Штаты в пятницу, 19 января 2007 г., используя сообщение электронной почты со строкой темы о недавней погодной катастрофе "230 погибших, когда шторм обрушился на Европу".[6] В течение уик-энда последовало шесть последовательных волн атак.[7] По состоянию на 22 января 2007 г. на Storm Worm приходилось 8% всех заражений вредоносным ПО в мире.[8]

Есть доказательства, согласно PCWorld, что Штормовой червь был русский происхождение, возможно, прослеживаемое до Российская Деловая Сеть.[9]

Способы действия

Первоначально распространялся в сообщениях о Европейский ураган Кирилл, Storm Worm также был замечен в электронных письмах на следующие темы:[10]

«В ходе наших тестов мы увидели, что зараженная машина отправила серию из почти 1800 писем за пятиминутный период, а затем просто остановилась».

–Амадо Идальго, исследователь с Symantec группа реагирования на безопасность.[11]

  • Убийца в 11 лет, он свободен в 21 и снова убивает!
  • Госсекретарь США Кондолиза Райс выгнал канцлера Германии Ангела Меркель
  • Геноцид британских мусульман
  • Голые подростки нападают на домашнего директора.
  • 230 человек погибло, когда шторм обрушился на Европу. [Червь получил название «Шторм» из-за этой темы сообщения.]
  • Re: Ваш текст
  • Радикальные мусульмане пьют кровь врагов.
  • Китайско-российская ракета сбила российский / китайский спутник / самолет
  • Саддам Хусейн целый и невредимый!
  • Саддам Хусейн жив!
  • Лидер Венесуэлы: «Война начнется».
  • Фидель Кастро мертвых.
  • Если бы я знал
  • ФБР против Facebook

Когда вложение открывается, вредоносная программа устанавливает службу wincom32 и внедряет полезную нагрузку, передавая пакеты в пункты назначения, закодированные в самой вредоносной программе. Согласно Symantec, он также может загружать и запускать троян Trojan.Abwiz.F и W32.Mixor.Q@mm. червь.[10] Троянец совмещает спам с такими именами, как "открытка.EXE "и" Flash Postcard.exe "с другими изменениями по сравнению с исходной волной по мере изменения атаки.[11] Некоторые из известных названий вложений включают:[10]

  • Postcard.exe
  • ecard.exe
  • FullVideo.exe
  • Полная история.exe
  • Video.exe
  • Узнать больше.exe
  • FullClip.exe
  • GreetingPostcard.exe
  • MoreHere.exe
  • FlashPostcard.exe
  • GreetingCard.exe
  • ClickHere.exe
  • ReadMore.exe
  • FlashPostcard.exe
  • FullNews.exe
  • NflStatTracker.exe
  • ArcadeWorld.exe
  • ArcadeWorldGame.exe

Позже, как подтвердил F-Secure, вредоносная программа начала распространять такие темы, как «Птицы любви» и «Тронутые любовью». Эти электронные письма содержат ссылки на веб-сайты, на которых размещены некоторые из следующих файлов, которые, как подтверждено, содержат вирус:

  • with_love.exe
  • withlove.exe
  • love.exe
  • frommetoyou.exe
  • iheartyou.exe
  • fck2008.exe
  • fck2009.exe

По словам Джо Стюарта, директора по исследованию вредоносных программ компании SecureWorks, Storm остается удивительно устойчивым, отчасти потому, что троянский конь, который он использует для заражения систем, меняет свой код упаковки каждые 10 минут, а после установки бот использует быстрый поток для изменения IP-адресов своих серверов управления и контроля.[12]

Ботнет

Основная статья: Штормовой ботнет

Скомпрометированная машина объединяется в ботнет. Хотя большинство ботнетов контролируются через центральную сервер, который, если он будет обнаружен, может быть удален, чтобы уничтожить ботнет, Storm Worm создает ботнет, который действует аналогично одноранговая сеть, без централизованного управления.[7] Каждая скомпрометированная машина подключается к списку подмножества всего ботнета - от 30 до 35 других скомпрометированных машин, которые действуют как хозяева. В то время как каждый из зараженных хостов имеет общие списки других зараженных хостов, ни одна машина не имеет полного списка всего ботнета - у каждого есть только подмножество, что затрудняет оценку истинной степени заражения. сеть зомби.[7] 7 сентября 2007 года размер ботнета Storm составлял от 1 до 10 миллионов компьютеров.[13] Исследователи из Мангеймского университета и Institut Eurecom по оценкам, количество одновременных сетевых штормовых узлов составляет от 5000 до 40 000.[14]

Руткит

Еще одно действие, которое выполняет Storm Worm, - это установка руткит Win32.agent.dh.[7] Symantec отметила, что некорректный код руткита сводит на нет некоторые планы автора Storm Worm. В более поздних вариантах, начиная примерно с июля 2007 г., компонент руткита загружался путем исправления существующих драйверов Windows, таких как tcpip.sys и cdrom.sys, с помощью куска кода, который загружает модуль драйвера руткита, не требуя наличия записи в списке драйверов Windows.[15]

День дурака

1 апреля 2008 г. в сети появился новый штормовой червь с тематическими заголовками, посвященными первоапрельским дуракам.[нужна цитата ]

Обратная связь

Список антивирусных компаний, которые могут обнаружить Storm Worm, включает Authentium, BitDefender, ClamAV, eSafe, Eset, F-Prot, F-Secure, Касперский, McAfee, Sophos, Symantec, Trend Micro, avast! и Windows Live OneCare.[16] Storm Worm постоянно обновляется его авторами, чтобы избежать обнаружения антивирусами, поэтому это не означает, что все перечисленные выше поставщики могут обнаруживать все варианты Storm Worm. An Система обнаружения вторжений предлагает некоторую защиту от руткита, так как он может предупредить, что процесс Windows "services.exe" пытается получить доступ в Интернет через порты 4000 или 7871.[11] Windows 2000, Windows XP и предположительно Виндоус виста могут быть заражены всеми вариантами штормового червя, но Windows Server 2003 не может, поскольку автор вредоносной программы специально исключил эту редакцию Windows из кода.[11] Кроме того, уровень дешифрования для некоторых вариантов требует функций Windows API, которые доступны только в Windows XP Service Pack 2 и более поздних версиях, что эффективно предотвращает заражение в более старых версиях Windows.

Питер Гутманн отправил электронное письмо[17] отмечая, что ботнет Storm включает от 1 до 10 миллионов ПК в зависимости от того, чьим оценкам вы верите. Хотя доктор Гутманн проводит сравнение аппаратных ресурсов ботнета Storm и распределенная память и распределенная разделяемая память высокопроизводительные компьютеры на TOP500 Точное совпадение производительности не входило в его намерения - скорее, это была более общая оценка размера ботнета по сравнению с другими массивными вычислительными ресурсами. Рассмотрим, например, размер ботнета Storm по сравнению с проектами грид-вычислений, такими как Сетка мирового сообщества.

Статья в PCWorld [18] от 21 октября 2007 года сообщает, что аналитик сетевой безопасности представил результаты на хакерской конференции Toorcon в Сан-Диего 20 октября 2007 года, заявив, что у Storm осталось около 20 000 активных хостов, или примерно одна десятая от его прежнего размера. Однако это оспаривается исследователем безопасности. Брюс Шнайер,[19] кто отмечает, что сеть разделяется, чтобы продавать части самостоятельно.

Примечания

  1. ^ Шуб, Александр. "Штормовой червь" атакует Интернет (на русском). Получено 2007-01-20.
  2. ^ Принц, Брайан (26 января 2007 г.). "'Штормовой червь продолжает распространяться по земному шару ». FOXNews.com. Получено 2007-01-27.
  3. ^ а б c "Информационные страницы троянца F-Secure: Small.DAM". Получено 2007-01-25.
  4. ^ Согласно Symantec, который обнаружил его как Троян.Упаковано.8. В прямом эфире обновление определения также идентифицировали его как Trojan.Peacomm
  5. ^ ""Штормовой червь "плещется по Интернету". 2007-01-19. Получено 2007-01-20.
  6. ^ «Штормовой хаос вызывает всплеск вирусов». Новости BBC. 19 января 2007 г.. Получено 2007-01-19.
  7. ^ а б c d Эспинер, Том (22 января 2007 г.). "'Штормовой червь "скользит". ZDNet. Получено 2007-01-22.
  8. ^ Кейзер, Грегг (22 января 2007 г.). "'Всплески спама от Storm, растут инфекции ". Информационная неделя. Получено 2007-01-22.
  9. ^ "Враг общества номер один в Интернете" - PCWorld
  10. ^ а б c Суэнага, Масаки (22 января 2007 г.). "Trojan.Peacomm". Получено 2007-01-22.
  11. ^ а б c d Кейзер, Грегг (23 января 2007 г.). "'Троян Storm поразил 1,6 миллиона компьютеров; Vista может быть уязвимой ". Информационная неделя. Получено 2007-01-24.
  12. ^ Роберт Вамози (7 августа 2008 г.). "Штормовой червь". CNET.com.
  13. ^ Питер Гутманн (31 августа 2007 г.). «Самый мощный суперкомпьютер в мире выходит в сеть». Полное раскрытие. Получено 2007-08-31.
  14. ^ Келли Джексон Хиггинс (23 апреля 2008 г.). "Исследователи проникают в ботнет-шторм" загрязняют "". Darkreading.com. Получено 2008-04-24.
  15. ^ SophosLabs (28 июля 2007 г.). «Исправление системных файлов: Часть II». Sophos. Получено 2010-12-05.
  16. ^ Блог запись Йоханнеса Ульриха, главного технического директора Институт SANS Интернет-шторм-центр
  17. ^ "Электронная почта Питера Гутмана".
  18. ^ "Штормовой червь теперь просто шквал".
  19. ^ "Шнайер о безопасности: Штормовой червь".

внешняя ссылка