Jump to content

Штормовой червь

Не путать с W32/Storm.worm .
Примеры писем с надписью «Storm Worm» во вложении

Storm Worm (названный так финской компанией F-Secure ) — это фишинговый бэкдор. [1] [2] Троянский конь , поражающий компьютеры, использующие Microsoft , операционные системы [3] [4] [5] обнаружен 17 января 2007 г. [3] Червь также известен как:

Штормовой червь начал атаковать тысячи (в основном частных) компьютеров в Европе и США в пятницу, 19 января 2007 г., используя сообщение электронной почты с темой о недавней погодной катастрофе: «230 человек погибли в результате шторма, обрушившегося на Европу». . [6] За выходные произошло шесть последовательных волн атак. [7] По состоянию на 22 января 2007 г. на долю Storm Worm приходилось 8% всех заражений вредоносным ПО в мире. [8]

, существуют доказательства По данным PCWorld того, что Storm Worm имел российское происхождение, возможно, связанное с Russian Business Network . [9]

Способы действия

[ редактировать ]

Штормовой червь , первоначально распространявшийся в сообщениях о европейском шторме Кирилл , также появлялся в электронных письмах со следующими темами: [10]

«Во время наших тестов мы видели, как зараженная машина отправляла почти 1800 электронных писем за пять минут, а затем просто остановилась».

– Амадо Идальго, исследователь группы реагирования на проблемы безопасности Symantec . [11]

  • 230 человек погибли в результате шторма, обрушившегося на Европу. [Из-за темы сообщения червь получил название «Storm».]
  • Убийца в 11, он свободен в 21 и снова убивает!
  • Госсекретарь США Кондолиза Райс пнула канцлера Германии Ангелу Меркель
  • Геноцид британских мусульман
  • Голые подростки напали на директора дома.
  • Re: Ваше сообщение
  • Радикальные мусульмане пьют кровь врагов.
  • Китайско-российская ракета сбила российский/китайский спутник/самолет
  • Саддам Хусейн жив и здоров!
  • Саддам Хусейн жив!
  • Венесуэльский лидер: «Давайте начнем войну».
  • Фидель Кастро мертв.
  • Если бы я знал
  • ФБР против Facebook
  • США оккупируют Иран

При открытии вложения вредоносная программа устанавливает службу wincom32 и внедряет полезную нагрузку, передавая пакеты адресатам, закодированным внутри самой вредоносной программы. По данным Symantec, он также может загружать и запускать троян Trojan.Abwiz.F и червя W32.Mixor.Q@mm . [10] Троянец добавляет в спам такие имена, как «postcard.exe » и «Flash Postcard.exe», с новыми изменениями по сравнению с исходной волной по мере развития атаки. [11] Некоторые из известных названий вложений включают: [10]

  • Открытка.exe
  • открытка.exe
  • FullVideo.exe
  • Полная история.exe
  • Видео.exe
  • Подробнее.exe
  • FullClip.exe
  • ПриветствиеОткрытка.exe
  • ПодробнееЗдесь.exe
  • FlashPostcard.exe
  • ПриветствиеCard.exe
  • ClickHere.exe
  • Подробнее.exe
  • FlashPostcard.exe
  • FullNews.exe
  • NflStatTracker.exe
  • ArcadeWorld.exe
  • ArcadeWorldGame.exe

Позже, как подтвердила F-Secure, вредоносное ПО начало распространять такие темы, как «Любовные птицы» и «Прикосновение любви». Эти электронные письма содержат ссылки на веб-сайты, на которых размещены некоторые из следующих файлов, которые, как подтверждено, содержат вирус:

  • with_love.exe
  • сlove.exe
  • любовь.exe
  • frommetoyou.exe
  • iheartyou.exe
  • fck2008.exe
  • fck2009.exe

По словам Джо Стюарта, директора по исследованию вредоносного ПО SecureWorks , Storm остается удивительно устойчивым, отчасти потому, что троянский конь, который он использует для заражения систем, меняет свой упаковочный код каждые 10 минут, а после установки бот использует Fast Flux для смены IP-адреса. адреса своих серверов управления и контроля. [12]

Ботнеты

[ редактировать ]
Основная статья: Ботнет Storm

Скомпрометированная машина объединяется в ботнет . В то время как большинство ботнетов контролируются через центральный сервер , который в случае обнаружения может быть отключен для уничтожения ботнета, Storm Worm создает ботнет, который действует аналогично одноранговой сети , без централизованного управления. [7] Каждая скомпрометированная машина подключается к списку подмножества всего ботнета — около 30–35 других скомпрометированных машин, которые действуют как хосты . Хотя каждый из зараженных хостов имеет общие списки других зараженных хостов, ни одна машина не имеет полного списка всего ботнета — у каждого есть только подмножество, что затрудняет оценку истинных размеров зомби- сети . [7] По состоянию на 7 сентября 2007 года размер ботнета Storm оценивался в пределах от 1 до 10 миллионов компьютеров. [13] Исследователи из Университета Мангейма и Института Eurecom подсчитали, что число одновременных сетевых штормовых узлов составляет от 5000 до 40 000. [14]

Руткит

[ редактировать ]

Еще одно действие Storm Worm — установка руткита Win32.agent.dh. [7] Symantec отметила, что ошибочный код руткита сводит на нет некоторые планы автора Storm Worm. В более поздних вариантах, начиная примерно с июля 2007 года, компонент руткита загружался путем исправления существующих драйверов Windows, таких как tcpip.sys и cdrom.sys, с помощью заглушки кода, которая загружает модуль драйвера руткита, не требуя наличия записи в списке драйверов Windows. [15]

День смеха

[ редактировать ]

1 апреля 2008 года в сеть был выпущен новый шторм-червь с заголовками на тему «Первоапрельского дурака». [ нужна ссылка ]

Обратная связь

[ редактировать ]

Список антивирусных компаний, способных обнаружить Storm Worm, включает Authentium , BitDefender , ClamAV , eSafe , Eset , F-Prot , F-Secure , Kaspersky , McAfee , Sophos , Symantec , Trend Micro , avast! и Windows Live OneCare . [16] Авторы Storm Worm постоянно обновляют его, чтобы избежать обнаружения антивирусами, поэтому это не означает, что все перечисленные выше поставщики способны обнаруживать все варианты Storm Worm. Система обнаружения вторжений обеспечивает некоторую защиту от руткита, поскольку она может предупредить, что процесс Windows «services.exe» пытается получить доступ к Интернету, используя порты 4000 или 7871. [11] Windows 2000 , Windows XP и, предположительно, Windows Vista могут быть заражены всеми вариантами Storm Worm, но Windows Server 2003 не может, поскольку автор вредоносной программы специально исключил эту версию Windows из кода. [11] Кроме того, для уровня расшифровки некоторых вариантов требуются функции Windows API, которые доступны только в Windows XP Service Pack 2 и более поздних версиях, что эффективно предотвращает заражение в более старых версиях Windows.

Питер Гутманн отправил электронное письмо [17] отметив, что ботнет Storm включает от 1 до 10 миллионов компьютеров, в зависимости от того, чьим оценкам вы верите. Хотя д-р Гутманн проводит сравнение аппаратных ресурсов между ботнетом Storm и с распределенной памятью и распределенной общей памятью высокопроизводительными компьютерами в TOP500 , его целью не было точное соответствие производительности, а скорее более общая оценка размера ботнета по сравнению с другими массивными вычислительными ресурсами. Рассмотрим, например, размер ботнета Storm по сравнению с проектами грид-вычислений, такими как World Community Grid .

Статья в PCWorld [18] от 21 октября 2007 г. сообщается, что аналитик сетевой безопасности представил результаты на хакерской конференции Toorcon в Сан-Диего 20 октября 2007 г., заявив, что число активных хостов Storm сократилось примерно до 20 000, что составляет примерно одну десятую от его прежнего размера. Однако это оспаривается исследователем безопасности Брюсом Шнайером . [19] который отмечает, что сеть разделяется, чтобы продавать части независимо.

Примечания

[ редактировать ]
  1. ^ Шуб, Александр. "Штормовой червь" атакует Интернет (на русском языке) . Проверено 20 января 2007 г.
  2. ^ Принс, Брайан (26 января 2007 г.). « Штормовой червь» продолжает распространяться по земному шару . FOXNews.com . Проверено 27 января 2007 г.
  3. ^ Перейти обратно: а б с «Информационные страницы трояна F-Secure: Small.DAM» . Проверено 25 января 2007 г.
  4. ^ По данным Symantec, которая обнаружила его как трояна .Packed.8. Определения LiveUpdate также определили его как Trojan.Peacomm.
  5. ^ « Штормовой червь» хлещет по Интернету . 19 января 2007 г. Проверено 20 января 2007 г.
  6. ^ «Штормовой хаос вызывает всплеск вируса» . Новости Би-би-си . 19 января 2007 года . Проверено 19 января 2007 г.
  7. ^ Перейти обратно: а б с д Эспинер, Том (22 января 2007 г.). « Штормовой червь скользит дальше» . ЗДНет . Проверено 22 января 2007 г.
  8. ^ Кейзер, Грегг (22 января 2007 г.). « Штормовой спам растет, количество заражений растет» . Информационная неделя . Проверено 22 января 2007 г.
  9. ^ «Враг Интернета номер один» . ПКМир . Архивировано из оригинала 16 марта 2009 г.
  10. ^ Перейти обратно: а б с Суэнага, Масаки (22 января 2007 г.). «Троян.Peacomm» . Архивировано из оригинала 29 июня 2019 года . Проверено 22 января 2007 г.
  11. ^ Перейти обратно: а б с д Кейзер, Грегг (23 января 2007 г.). « Троян Storm» поразил 1,6 миллиона компьютеров; Vista может быть уязвима» . Информационная неделя . Проверено 6 октября 2021 г.
  12. ^ Роберт Вамози (7 августа 2008 г.). «Штормовой червь» . CNET.com .
  13. ^ Питер Гутманн (31 августа 2007 г.). «Самый мощный суперкомпьютер в мире выходит в интернет» . Полное раскрытие . Проверено 31 августа 2007 г.
  14. ^ Келли Джексон Хиггинс (23 апреля 2008 г.). «Исследователи проникают и «загрязняют» ботнет Storm» . Darkreading.com . Проверено 24 апреля 2008 г.
  15. ^ SophosLabs (28 июля 2007 г.). «Исправление системных файлов: Часть II» . Софос . Проверено 5 декабря 2010 г.
  16. в блоге Запись SANS. Йоханнеса Ульриха, главного технического директора Центра интернет-штормов Института
  17. ^ «Электронное письмо Питера Гутмана» .
  18. ^ «Штормовой червь, теперь просто шквал» .
  19. ^ «Шнайер о безопасности: Штормовой червь» .
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Storm_Worm&oldid=1221434119"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 00dbb6d825c8deb033af33e1be48b1eb__1714419840
URL1:https://arc.ask3.ru/arc/aa/00/eb/00dbb6d825c8deb033af33e1be48b1eb.html
Заголовок, (Title) документа по адресу, URL1:
Storm Worm - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)