Штормовой червь

В Windows обнаружен троянский конь-бэкдор

Storm Worm (так его окрестила финская компания F-Secure ) — это фишинговый бэкдор ^[1]^[2] троянский конь , поражающий компьютеры, работающие под управлением операционных систем Microsoft , ^[3]^[4]^[5], обнаруженный 17 января 2007 года. ^[3] Червь также известен как:

Small.dam или Trojan-Downloader.Win32.Small.dam ( F-Secure )
CME-711 ( МИТРА )
W32/Nuwar@MM и Downloader-BAI (определенный вариант) ( McAfee )
Трой/Дорф и Мал/Дорф ( Софос )
Троян.DL.Tibs.Gen!Pac13 ^[3]
Trojan.Downloader-647
Trojan.Peacomm ( Symantec )
TROJ_SMALL.EDW ( Trend Micro )
Win32/Nuwar ( ESET )
Win32/Nuwar.N@MM!CME-711 ( Windows Live OneCare )
W32/Zhelatin ( F-Secure и Kaspersky )
Trojan.Peed , Trojan.Tibs ( BitDefender )

Storm Worm начал атаковать тысячи (в основном частных) компьютеров в Европе и США в пятницу, 19 января 2007 года, используя сообщение электронной почты с темой о недавней погодной катастрофе, «230 погибших, когда шторм обрушился на Европу». ^[6] В течение выходных было шесть последовательных волн атаки. ^[7] По состоянию на 22 января 2007 года Storm Worm составил 8% всех заражений вредоносным ПО в мире. ^[8]

По данным PCWorld , имеются доказательства того, что Storm Worm имел российское происхождение, возможно, прослеживаемое до Russian Business Network . ^[9]

История

Первоначально распространявшийся в сообщениях о циклоне Кирилл , Штормовой червь также был замечен в электронных письмах со следующими темами: ^[10]

«Во время наших тестов мы увидели, как зараженная машина отправила почти 1800 писем за пять минут, а затем она просто остановилась».

–Амадо Идальго, исследователь из группы реагирования на угрозы безопасности Symantec . ^[11]

230 погибших в результате шторма, обрушившегося на Европу. [Червь получил название «Шторм» из-за темы сообщения.]
Убийца в 11 лет, свободный в 21 год и снова убивающий!
Госсекретарь США Кондолиза Райс пнула канцлера Германии Ангелу Меркель
Геноцид британских мусульман
Голые подростки нападают на директора дома.
Re: Ваш текст
Радикальный мусульманин пьет кровь врагов.
Китайская/российская ракета сбила российский/китайский спутник/самолет
Саддам Хусейн жив и здоров!
Саддам Хусейн жив!
Лидер Венесуэлы: «Давайте начнем войну».
Фидель Кастро мертв.
Если бы я знал
ФБР против Facebook
США оккупируют Иран

При открытии вложения вредоносная программа устанавливает службу wincom32 и внедряет полезную нагрузку, передавая пакеты по адресам, закодированным в самой вредоносной программе. По данным Symantec, она также может загружать и запускать троян Trojan.Abwiz.F и червя W32.Mixor.Q@mm . ^[10] Троян прикрепляется к спаму с именами, такими как "postcard .exe " и "Flash Postcard.exe", с большим количеством изменений от исходной волны по мере мутации атаки. ^[11] Некоторые из известных имен вложений включают: ^[10]

Открытка.exe
ecard.exe
FullVideo.exe
Полная история.exe
Видео.exe
Подробнее.exe
FullClip.exe
GreetingPostcard.exe
MoreHere.exe
FlashPostcard.exe
GreetingCard.exe
Нажмите здесь.exe
ReadMore.exe
FlashPostcard.exe
FullNews.exe
NflStatTracker.exe
ArcadeWorld.exe
ArcadeWorldGame.exe

Позже, как подтвердила F-Secure, вредоносная программа начала распространять такие темы, как «Love birds» и «Touched by Love». Эти письма содержат ссылки на веб-сайты, на которых размещены некоторые из следующих файлов, которые, как подтверждено, содержат вирус:

with_love.exe
withlove.exe
любовь.exe
frommetoyou.exe
iheartyou.exe
fck2008.exe
fck2009.exe

По словам Джо Стюарта, директора по исследованиям вредоносного ПО в SecureWorks , Storm остается на удивление устойчивым, отчасти потому, что троянский конь, который он использует для заражения систем, меняет свой код упаковки каждые 10 минут, а после установки бот использует Fast Flux для изменения IP-адресов своих командных и контрольных серверов. ^[12]

Ботнетинг

Скомпрометированная машина объединяется в ботнет . В то время как большинство ботнетов контролируются через центральный сервер , который при обнаружении может быть отключен для уничтожения ботнета, Storm Worm создает ботнет, который действует аналогично одноранговой сети , без централизованного управления. ^[7] Каждая скомпрометированная машина подключается к списку подмножества всего ботнета — около 30–35 других скомпрометированных машин, которые действуют как хосты . В то время как каждый из зараженных хостов делится списками других зараженных хостов, ни одна машина не имеет полного списка всего ботнета — у каждого есть только подмножество, что затрудняет оценку истинного масштаба сети зомби . ^[7] 7 сентября 2007 года оценки размера ботнета Storm варьировались от 1 до 10 миллионов компьютеров. ^[13] Исследователи из Университета Мангейма и Института Eurecom подсчитали, что число одновременных сетевых штормовых узлов составляет от 5000 до 40 000. ^[14]

Руткит

Другое действие, которое предпринимает Storm Worm, — это установка руткита Win32.agent.dh. ^[7] Symantec указала, что некорректный код руткита сводит на нет некоторые планы автора Storm Worm. Более поздние варианты, начиная с июля 2007 года, загружали компонент руткита, исправляя существующие драйверы Windows, такие как tcpip.sys и cdrom.sys, с помощью заглушки кода, который загружает модуль драйвера руткита, не требуя от него записи в списке драйверов Windows. ^[15]

День дурака

1 апреля 2008 года в сети появился новый Storm Worm с заголовками в тематике первоапрельских шуток . ^{[ необходима ссылка ]}

Обратная связь

Список антивирусных компаний, которые могут обнаружить Storm Worm, включает Authentium , BitDefender , ClamAV , eSafe , Eset , F-Prot , F-Secure , Kaspersky , McAfee , Sophos , Symantec , Trend Micro , avast! и Windows Live OneCare . ^[16] Storm Worm постоянно обновляется его авторами, чтобы избежать обнаружения антивирусами, поэтому это не означает, что все перечисленные выше поставщики способны обнаружить все варианты Storm Worm. Система обнаружения вторжений обеспечивает некоторую защиту от руткита, поскольку она может предупреждать, что процесс Windows «services.exe» пытается получить доступ к Интернету, используя порты 4000 или 7871. ^[11] Windows 2000 , Windows XP и, предположительно, Windows Vista могут быть заражены всеми вариантами Storm Worm, но Windows Server 2003 не может, поскольку автор вредоносной программы специально исключил эту версию Windows из кода. ^[11] Кроме того, для слоя расшифровки некоторых вариантов требуются функции Windows API, которые доступны только в Windows XP Service Pack 2 и более поздних версиях, что эффективно предотвращает заражение в старых версиях Windows.

Питер Гутманн отправил электронное письмо ^[17], отметив, что ботнет Storm включает от 1 до 10 миллионов ПК в зависимости от того, чьим оценкам вы верите. Хотя доктор Гутманн сравнивает аппаратные ресурсы ботнета Storm с высокопроизводительными компьютерами с распределенной памятью и распределенной общей памятью из TOP500 , точные соответствия производительности не были его намерением — скорее более общая оценка размера ботнета по сравнению с другими массивными вычислительными ресурсами. Рассмотрим, например, размер ботнета Storm по сравнению с проектами grid-вычислений, такими как World Community Grid .

В статье в PCWorld ^[18] от 21 октября 2007 года говорится, что аналитик сетевой безопасности представил результаты на хакерской конференции Toorcon в Сан-Диего 20 октября 2007 года, заявив, что Storm сократился до примерно 20 000 активных хостов или примерно одной десятой от своего прежнего размера. Однако это оспаривается исследователем безопасности Брюсом Шнайером ^[19] , который отмечает, что сеть разделяется с целью продажи ее частей по отдельности.

Примечания

^ Шуб, Александр. «Штормовой червь» атакует Интернет . Проверено 20 января 2007 г.
↑ Принс, Брайан (26 января 2007 г.). «Штормовой червь продолжает распространяться по всему миру». FOXNews.com . Получено 27.01.2007 .
^ abc "Страницы информации о троянах F-Secure: Small.DAM" . Получено 25.01.2007 .
^ Согласно Symantec, он был обнаружен как Trojan .Packed.8. Определения LiveUpdate также идентифицировали его как Trojan.Peacomm
^ ""Штормовой червь" хлюпает по Интернету". 2007-01-19 . Получено 2007-01-20 .
^ "Штормовой хаос провоцирует всплеск вируса". BBC News . 19 января 2007 г. Получено 19 января 2007 г.
^ abcd Эспинер, Том (22 января 2007 г.). "'Storm Worm' скользит дальше". ZDNet . Получено 22.01.2007 .
^ Кайзер, Грегг (22 января 2007 г.). «Всплеск спама 'Storm', рост числа заражений». InformationWeek . Получено 22.01.2007 .
^ "Враг Интернета номер один". PCWorld . Архивировано из оригинала 2009-03-16.
^ abc Суэнага, Масаки (22 января 2007 г.). «Троян.Peacomm». Архивировано из оригинала 29 июня 2019 года . Проверено 22 января 2007 г.
^ abcd Keizer, Gregg (23 января 2007 г.). «Троян 'Storm' поразил 1,6 миллиона ПК; Vista может быть уязвима». InformationWeek . Получено 06.10.2021 .
↑ Роберт Вамоси (7 августа 2008 г.). «Штормовой червь». CNET.com .
^ Питер Гутман (31 августа 2007 г.). «Самый мощный суперкомпьютер в мире выходит в сеть». Полное раскрытие информации . Получено 2007-08-31 .
↑ Келли Джексон Хиггинс (23 апреля 2008 г.). «Исследователи проникают в Storm Botnet и «загрязняют» его». Darkreading.com . Получено 24.04.2008 .
^ SophosLabs (28 июля 2007 г.). "Исправление системных файлов: Часть II". Sophos . Получено 2010-12-05 .
^ Запись в блоге Йоханнеса Ульриха, главного технического директора Центра интернет-штормов Института SANS
^ «Электронное письмо Питера Гутмана».
^ «Штормовой червь теперь просто шквал».
^ «Шнайер о безопасности: Штормовой червь».

Внешние ссылки

Спамтрекеры SpamWiki: Шторм
NetworkWorld: Вирулентность Storm Worm может изменить тактику
Wired.com: Анализ Брюса Шнайера
«Надвигается буря» из блога IBM ISS X-Force
Trojan.Peacomm (Storm) в Symantec
Штормовая погода: количественная оценка угрозы штормовой паутины в 2007 году (Trend Micro)
В миллионах Windows надвигается идеальный шторм, сообщает The Observer.
Атака штормовых червей в День смеха, по версии PC World.
Шторм и будущее социальной инженерии от Help Net Security (HNS).
Бодмер, Килгер, Карпентер и Джонс (2012). Обратный обман: организованная киберугроза противодействия эксплуатации. Нью-Йорк: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495

[1] Шуб, Александр. «Штормовой червь» атакует Интернет . Проверено 20 января 2007 г.

[2] Принс, Брайан (26 января 2007 г.). «Штормовой червь продолжает распространяться по всему миру». FOXNews.com . Получено 27.01.2007 .

[FSEC-3] "Страницы информации о троянах F-Secure: Small.DAM" . Получено 25.01.2007 .

[4] Согласно Symantec, он был обнаружен как Trojan .Packed.8. Определения LiveUpdate также идентифицировали его как Trojan.Peacomm

[5] ""Штормовой червь" хлюпает по Интернету". 2007-01-19 . Получено 2007-01-20 .

[6] "Штормовой хаос провоцирует всплеск вируса". BBC News . 19 января 2007 г. Получено 19 января 2007 г.

[ZDN-7] Эспинер, Том (22 января 2007 г.). "'Storm Worm' скользит дальше". ZDNet . Получено 22.01.2007 .

[8] Кайзер, Грегг (22 января 2007 г.). «Всплеск спама 'Storm', рост числа заражений». InformationWeek . Получено 22.01.2007 .

[9] "Враг Интернета номер один". PCWorld . Архивировано из оригинала 2009-03-16.

[Symantec-10] Суэнага, Масаки (22 января 2007 г.). «Троян.Peacomm». Архивировано из оригинала 29 июня 2019 года . Проверено 22 января 2007 г.

[InfoWeek-11] Keizer, Gregg (23 января 2007 г.). «Троян 'Storm' поразил 1,6 миллиона ПК; Vista может быть уязвима». InformationWeek . Получено 06.10.2021 .

[C|Net-12] Роберт Вамоси (7 августа 2008 г.). «Штормовой червь». CNET.com .

[13] Питер Гутман (31 августа 2007 г.). «Самый мощный суперкомпьютер в мире выходит в сеть». Полное раскрытие информации . Получено 2007-08-31 .

[14] Келли Джексон Хиггинс (23 апреля 2008 г.). «Исследователи проникают в Storm Botnet и «загрязняют» его». Darkreading.com . Получено 24.04.2008 .

[15] SophosLabs (28 июля 2007 г.). "Исправление системных файлов: Часть II". Sophos . Получено 2010-12-05 .

[16] Запись в блоге Йоханнеса Ульриха, главного технического директора Центра интернет-штормов Института SANS

[PeterGutmannEmail-17] «Электронное письмо Питера Гутмана».

[smallworm-18] «Штормовой червь теперь просто шквал».

[19] «Шнайер о безопасности: Штормовой червь».