风暴安全研究人员周一说,这种木马可以将个人电脑整合到黑客控制的僵尸网络中。上个月,它在几波攻击中重获生机。到了2005年的清醒版,它已经成为有史以来最活跃的电子邮件传播恶意软件。
“这是自2005年中后期清醒以来最大的一次,”MX Logic的威胁研究主管萨姆·马西洛(Sam Masiello)说。他指的是一种持续时间较长的蠕虫病毒,其变种在2005年下半年多次袭击,袭击人数往往非常多。例如,在2006年11月,电子邮件过滤公司报告说,含有恶意软件的电子邮件数量在一周内激增150%,并说他们拦截的受感染邮件数量是通常情况下的四倍。
根据MX Logic的说法,“风暴”(Storm)——一种僵尸木马,可以将被入侵的电脑收集到一个由随时可用的个人电脑组成的大型网络——已经打破了“清醒”的记录。多亏了Storm,科罗拉多州恩格尔伍德电子邮件安全管理供应商跟踪到七月份的恶意电子邮件比六月份增加了170%。
然而,风暴比清醒时想象的要恶毒得多。Masiello说:“它不仅被设计用来传播Storm的更多副本,而且还会释放大量的垃圾邮件。”
包括Wood和Masiello在内的安全分析人士一直在为Storm的成功和成功之间划清界限垃圾邮件7月和8月的爆发,包括一次令人印象深刻的拉高出货的”证券欺诈邮件在世界范围内邮箱。Masiello说:“某些木马被专门编写,不仅使他们自己的僵尸网络更大,但传播特定类型的垃圾邮件。”
其他研究人员也相信,Storm与垃圾邮件用户在7月和现在看到的激增有直接关系。MessageLabs的高级分析师保罗·伍德说:“从网络流量的整体来看,恶意软件的托管位置,我认为这几乎肯定是有因果关系的。”“风暴僵尸网络是我们最近看到的最成功的网络之一。现在,从(黑客)的角度来看,这是有回报的。”
“风暴”是在6月底开始积聚人气的,当时用户收到了几封以贺卡形式出现的邮件,并在7月4日前夕达到临界数量,当时节日主题吸引了更多用户点击浏览。Masiello说:“Storm现在更多的是使用‘拉动’模式,而不是‘推动’模式。”早些时候的风暴机器人建设活动已经与附件,当运行劫持目标PC。最近的攻击只是在电子邮件中提供一个链接;当用户点击链接时,随后网站上的代码——实际上,通常是几个漏洞尝试了几个漏洞,直到其中一个失效——就会攫取电脑。
例如,赛门铁克的研究人员在周六表示,他们的蜜罐已经诱骗了几个邮件样本,这些邮件试图欺骗用户访问网站,Mpack,一个具有多重攻击功能的黑客工具包,正在等待。一旦成功,Mpack然后安装了Storm,在赛门铁克的命名中是Peacomm。“虽然Mpack本身并不新鲜,但Peacomm/Mpack链接却是新鲜事物,”赛门铁克分析师安东尼·罗在发给公司DeepSight威胁网络客户的一份警告中说。“这是Peacomm木马的一个新的传播载体。”
不过,尽管赛门铁克追踪到了风暴传奇的一个新变体,但它并没有购买从机器人到垃圾邮件的链接。互联网新闻网站都在讨论未经证实的木马报道。Peacomm [Storm]的感染导致了一个大规模的攻击者控制的P2P僵尸网络,这就是最近观察到的垃圾邮件中penny stock大量涌现的原因。这似乎主要是猜测。
而马西洛却没有这些。他说:“Storm和最近的垃圾邮件攻击之间肯定有关联。”
事实上,Masiello认为,风暴招募的僵尸网络意味着垃圾邮件的数量,以及垃圾邮件占所有电子邮件的百分比,将从现在到年底继续攀升。“垃圾邮件通常是周期性的”,其高峰出现在上个季度。“他们现在正在建立基础设施”,为年底的推进做准备。
这个故事,“破纪录的‘风暴’链接到垃圾邮件激增”最初发表《计算机世界》 。