研究人员表示,风暴蠕虫创建的僵尸网络的规模和范围使其成为迄今为止最具攻击性的恶意软件之一。
Storm可能不是有史以来最具创意或恶意的恶意软件,但它正在成为最有生产力的;威胁研究人员最近估计,它感染的个人电脑数量超过了100万台。
风暴一年前首次出现在研究人员的雷达上,被一些人定义为a虫,别人以为是特洛伊木马请参见常见问题解答。虽然已经有很多名字,风暴 - 指的是垃圾邮件爆炸背后提到的风暴-已被卡住。
| •欧洲风暴 -垃圾邮件试图发送收件人到网站与更多的新闻在冬季天气的结果。 |
| •YouTube的 -垃圾邮件收件人告知有在YouTube上发布他们的视频。 |
| •账户确认- - - - - -垃圾邮件询问收件人点击嵌入的链接确认伪造的组织帐户。 |
| •劳动节快乐 -垃圾邮件告诉收件人节日的问候语是在链接的网站在等着他们。 |
| •国家橄榄球联盟-垃圾邮件试图引诱球迷一个网站,承诺的免费游戏跟踪器,除其他事项外。 |
| •免费游戏,电子邮件告诉收件人点击链接,免费电脑游戏下载。 |
虽然风暴不使用任何特别的或恶意的技术,如删除硬盘上的文件或记录击键获取密码和个人信息,它通过其作家的声名狼藉的更新能力和适应恶意软件的代码和垃圾邮件爆炸,吸引人们感染——所有与建立一个巨型僵尸网络的目的。
“风暴是一种非常具有攻击性的蠕虫,”约翰·莱文说,他是咨询公司Taughannock Networks的总裁,也是互联网研究工作组反垃圾邮件研究小组的联合主席。“这很有趣,因为它使用了[点对点]控制结构,这使得它很难被杀死。”
大多数威胁观察家说,没有人知道是谁在背后风暴,但芬兰杀毒厂商F-Secure的,这需要信贷给了风暴的名字,说一个叫Zhelatin岗组负责人及该公司认为是俄罗斯的工作了。F-Secure的也说,风暴是世界上最大的僵尸网络与刚刚超过100万受感染的个人电脑;然而,其他研究人员说,有没有办法知道有多少电脑已经被感染。
具有高度破坏性件恶意软件,为的Slammer和冲击波的是记下了许多计算机和服务,风暴棍棒大多是发送垃圾邮件和发动偶尔分布式拒绝服务(DoS)攻击,特别是针对比较安全研究恶意软件的公司。但是F-Secure的技术经理Patrik Runald说,由于风暴的规模,它的潜在危害是严重的。
他说:“由于[风暴的拥有者]控制着大约100万台电脑,我们必须非常认真地对待他们攻击关键网络的威胁。”
如何风暴袭击
Storm在个人电脑上秘密安装自己的方式是通过垃圾邮件,但通常情况下,Storm不是由消息;而不是消息试图让收件人访问一个Web站点,下载恶意软件。这是很难避免与风暴有关的垃圾邮件,这是特别夏末活跃而且没有停止的迹象。这些垃圾邮件爆炸利用任何恶意软件所有者认为最吸引人点击嵌入链接到一个网站据称相关邮件的主题——最近的事件,如劳动节周末足球赛季的开始或流行文化项目,如电脑游戏或一个YouTube视频剪辑。
谁拥有风暴是“这肯定与美国社会的曲调,”罗杰·汤普森,溢出防止实验室的首席技术官说。“他们很可能欧洲 - 他们的英语掌握得并不完美 - 但他们了解美国文化相当不错。”
如果收到Storm支持的垃圾邮件的人点击链接,他们会被带到一个网站,如果他们的浏览器没有最新的垃圾邮件,该网站会自动下载Storm补丁安装,研究人员说。如果受感染网站的访问者有最新的浏览器,该网站会要求他们点击几个链接(带有社会工程队列,如“下载浏览你的电子贺卡的软件,点击这里”),这样风暴就可以绕过当前的补丁并自行安装。
“没有人对社会工程补丁,”赛门铁克安全响应团队的高级经理Ben格林鲍姆说。
一旦风暴被下载到PC上,原来那台电脑变成僵尸网络的,受损的电脑可以远程未经所有者意识到它可以控制的军队的一部分。
而这正是利润进来;研究人员通过租用他们的僵尸网络的一部分相信背后风暴赚钱的人。Storm的僵尸网络的成员可以变成垃圾邮件服务器,所以寻找一个难以追踪的方式,以爆炸的垃圾邮件将租用这些受损的电脑空间组织;当垃圾邮件发送者的IP地址进行了研究它导致回僵尸网络,而不是实际的垃圾邮件发送者的成员。
考虑到互联网上赚钱的犯罪如何已经成为,我们没有理由相信,风暴将平静下来;上个月在一次会议迈克菲首席执行官David德瓦尔特说,网络犯罪已经成为一个$ 105十亿的业务,使其价值超过全球非法毒品交易。
风暴僵尸网络的成员还可以通过编程来充当网络服务器该下载其他恶意代码,以及参加在分布式DoS攻击,研究人员说。
虽然风暴垃圾邮件不会引起太大企业IT部门的担忧——因为反垃圾邮件供应商通常理解最新的爆炸和更新他们的垃圾邮件过滤器几天之内,如果不小时,不知不觉的潜力企业资产成为这个巨大的僵尸网络的一部分的犯罪在互联网上引起关注。
“We have real-time network traffic monitoring tools implemented across [Argonne National Laboratory]’s networks to ensure that we quickly become aware of 'bad' behavior, especially bot-type/malware behavior,” says David Salbego, Unix and operations service manager with Argonne National Laboratory’s computing and information systems department. “While no system is perfect, simply relying on not becoming infected is not sufficient — one must be able to definitely prove that machines are not infected and/or not communicating with known `bad guys.’”
前方的风暴
Storm让研究人员保持警觉的另一个特点是,该恶意软件能够不断改变,试图抢先一步采取预防措施。
“我们检测到的攻击[暴雨]用途迫使其方式,”汤普森补充道。“有一次,他们实际上是改变了什么,他们经常为每分钟安装,以避免[杀毒]程序。”
另一个杀毒软件供应商也认为,虽然Storm不是互联网上见过的最糟糕的恶意软件,但它的通用性让它更长寿。
“我不认为风暴是世界末日;我仍然认为人们可以安全使用互联网,”McAfee Avert实验室的安全研究和通信经理戴夫•马库斯表示。“但我也不认为它会在短期内消退,因为它有很多用途。”这是我们必须保持警惕的事情。”
了解有关此主题的更多信息
风暴常见问题解答09/27/07
风暴虫变聪明07/26/07
尽管PDF格式的寿命很短,但垃圾邮件还是在8月份出现了09/06/07
风暴蠕虫的毒力可能会改变战术07年8月2日