 В интернете зафиксирована новая версия сетевого червя Storm. Новинка
представляет собой кардинально пересмотренный вариант разработки,
которая бушевала в сети три года назад, говорят в Shadowserver
Foundation. Первая версия червя Storm появилась в самом начале 2007
года и довольно быстро распространилась, став самой массовой атакой
сетевых червей в истории. []
При попадании на компьютер пользователя, сетевой червь с очень высокой
скоростью начинал рассылать спам, загружая пользовательский
интернет-канал.
Стивен Адаир, специалист по мониторингу бот-сетей
Shadowserver, говорит, что самые первые образцы обновленного сетевого
червя были зафиксированы еще 13 апреля, с тех пор масштабы
распространения возросли, хотя до эпидемии они пока не дотягивают. Адаир
отмечает, что программисты из Honeypot Project провели
реверс-инжениринг двоичного варианта Storm и приблизительно исследовали
исходники нового варианта.
Согласно их данным, новый Storm
представляет собой старую базу с массой новых элементов. Некоторые из
элементов пока не до конца изучены и специалисты затрудняются полностью
судить о функционале Storm. Тем не менее, уже сейчас эксперты с
уверенностью утверждают, что Storm для коммуникаций использует
исключительно HTTP-трафик. Доступный вариант червя был создан таким
образом, что он получал управляющие команды всего с одного IP-адреса,
расположенного в Нидерландах.
"Мы уже связались с соответствующим
провайдером", - сообщили в Shadowserver.
Адаир предполагает, что
ввиду ограниченных коммуникационных возможностей новый Storm пока
существует сравнительно недолго, а его авторы, скорее всего, не
рассчитывали на переезд командного сервера на другие площадки.
Зараженные
новым червем компьютеры начинают действовать по программе Drive-by.
Распространение Storm пока идет с относительно небольшого числа
веб-сайтов, говорят эксперты.
|
