Stormmask

Exempel på e-postmeddelanden med "Stormmask" i bilagan

Stormmasken (döpt så av det finska företaget F-Secure ) är en trojansk häst med nätfiske bakdörr som påverkar datorer som använder Microsofts operativsystem , upptäckt den 17 januari 2007. Masken är också känd som:

• Small.dam eller Trojan-Downloader.Win32.Small.dam ( F-Secure )
• CME-711 ( MITRE )
• W32/Nuwar@MM och Downloader-BAI (specifik variant) ( McAfee )
• Troj/Dorf och Mal/Dorf ( Sophos )
• Trojan.DL.Tibs.Gen!Pac13
• Trojan.Downloader-647
• Trojan.Peacomm ( Symantec )
• TROJ_SMALL.EDW ( Trend Micro )
• Win32/Nuwar ( ESET )
• Win32/Nuwar.N@MM!CME-711 ( Windows Live OneCare )
• W32/Zhelatin ( F-Secure och Kaspersky )
• Trojan.Peed , Trojan.Tibs ( BitDefender )

Stormmasken började attackera tusentals (mestadels privata) datorer i Europa och USA fredagen den 19 januari 2007, med ett e-postmeddelande med en ämnesrad om en nyligen inträffad väderkatastrof, "230 döda när stormen drabbar Europa" . Under helgen var det sex efterföljande vågor av attacken. Den 22 januari 2007 stod Storm Worm för 8 % av alla skadliga infektioner globalt.

Det finns bevis, enligt PCWorld , att stormmasken var av ryskt ursprung, möjligen spårbar till det ryska affärsnätverket .

Handlingssätt

Stormmasken spreds ursprungligen i meddelanden om den europeiska vindstormen Kyrill och har även setts i e-postmeddelanden med följande ämnen:

• 230 döda när stormen drabbar Europa. [Masken kallades "Storm" på grund av detta meddelandeämne.]
• En mördare vid 11, han är fri vid 21 och döda igen!
• USA:s utrikesminister Condoleezza Rice har sparkat Tysklands förbundskansler Angela Merkel
• Brittiska muslimer folkmord
• Nakna tonåringar attackerar hemdirektören.
• Re: Din text
• Radikal muslim som dricker fiendens blod.
• Kinesisk/rysk missil sköt ner rysk/kinesisk satellit/flygplan
• Saddam Hussein i god behåll!
• Saddam Hussein vid liv!
• Venezuelas ledare: "Låt oss börja kriget".
• Fidel Castro död.
• Om jag visste
• FBI vs Facebook
• USA ockuperar Iran

När en bilaga öppnas installerar skadlig programvara wincom32-tjänsten och injicerar en nyttolast som skickar vidare paket till destinationer som är kodade i själva skadlig programvara. Enligt Symantec kan den även ladda ner och köra trojanen Trojan.Abwiz.F och masken W32.Mixor.Q@mm . Trojanen piggybacks på skräpposten med namn som "postcard .exe " och "Flash Postcard.exe", med fler ändringar från den ursprungliga vågen allt eftersom attacken muterar. Några av de kända namnen för bilagorna inkluderar:

• Postcard.exe
• ecard.exe
• FullVideo.exe
• Full Story.exe
• Video.exe
• Läs mer.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe
• NflStatTracker.exe
• ArcadeWorld.exe
• ArcadeWorldGame.exe

Senare, som F-Secure bekräftade, började skadlig programvara sprida ämnen som "Love birds" och "Touched by Love". Dessa e-postmeddelanden innehåller länkar till webbplatser som är värd för några av följande filer, som har bekräftats innehålla viruset:

• with_love.exe
• withlove.exe
• love.exe
• frommetoyou.exe
• iheartyou.exe
• fck2008.exe
• fck2009.exe

Enligt Joe Stewart, chef för forskning om skadlig programvara för SecureWorks , förblir Storm otroligt motståndskraftig, delvis på grund av att den trojanska hästen som den använder för att infektera system ändrar sin packningskod var tionde minut, och när den väl har installerats använder boten snabbt flöde för att ändra IP:n adresser för dess kommando- och kontrollservrar.

Botnetting

Den komprometterade maskinen slås samman till ett botnät . Medan de flesta botnät kontrolleras via en central server , som om den hittas kan tas ner för att förstöra botnätet, så skapar Storm Worm ett botnät som fungerar på liknande sätt som ett peer-to-peer-nätverk , utan centraliserad kontroll. Varje komprometterad maskin ansluter till en lista med en delmängd av hela botnätet - cirka 30 till 35 andra komprometterade maskiner, som fungerar som värdar . Medan var och en av de infekterade värdarna delar listor över andra infekterade värdar, har ingen maskin en fullständig lista över hela botnätet - var och en har bara en delmängd, vilket gör det svårt att bedöma den verkliga omfattningen av zombienätverket . Den 7 september 2007 varierade uppskattningarna av storleken på Storm-botnätet från 1 till 10 miljoner datorer. Forskare från universitetet i Mannheim och Institut Eurecom har uppskattat att samtidiga stormnoder online är mellan 5 000 och 40 000.

Rootkit

En annan åtgärd som Storm Worm vidtar är att installera rootkit Win32.agent.dh. Symantec påpekade att felaktig rootkit-kod ogiltigförklarar några av Storm Worm-författarens planer. Senare varianter, som började omkring juli 2007, laddade rootkit-komponenten genom att patcha befintliga Windows-drivrutiner som tcpip.sys och cdrom.sys med en kodstubb som laddar rootkit-drivrutinsmodulen utan att den måste ha en post i Windows-drivrutinlistan.

första april

Den 1 april 2008 släpptes en ny stormmask på nätet, med ämnestitlar med April Fools-tema. ^{[ citat behövs ]}

Respons

Listan över antivirusföretag som kan upptäcka Storm Worm inkluderar Authentium , BitDefender , ClamAV , eSafe , Eset , F-Prot , F-Secure , Kaspersky , McAfee , Sophos , Symantec , Trend Micro , avast! och Windows Live OneCare . Storm Worm uppdateras ständigt av dess författare för att undvika antivirusupptäckt, så detta betyder inte att alla leverantörer som anges ovan kan upptäcka alla Storm Worm-varianter. Ett intrångsdetekteringssystem erbjuder ett visst skydd från rootkit, eftersom det kan varna att Windows-processen "services.exe" försöker komma åt Internet med portar 4000 eller 7871. Windows 2000 , Windows XP och förmodligen Windows Vista kan infekteras av alla Storm Worm-varianterna, men det kan inte Windows Server 2003 , eftersom upphovsmannen till skadlig programvara specifikt uteslutit den versionen av Windows från koden. Dessutom kräver dekrypteringsskiktet för vissa varianter Windows API-funktioner som endast är tillgängliga i Windows XP Service Pack 2 och senare, vilket effektivt förhindrar infektion på äldre versioner av Windows.

Peter Gutmann skickade ett e-postmeddelande och noterade att Storm-botnätet omfattar mellan 1 och 10 miljoner datorer beroende på vems uppskattningar du tror. Även om Dr. Gutmann gör en hårdvaruresursjämförelse mellan Storm-botnätet och distribuerat minne och distribuerade delade minnesdatorer med hög prestanda vid TOP500 , var exakta prestandamatchningar inte hans avsikt – snarare en mer allmän uppskattning av botnätets storlek jämfört med andra massiva datorresurser. Tänk till exempel storleken på Storm-botnätet jämfört med grid computing-projekt som World Community Grid .

En artikel i PCWorld daterad den 21 oktober 2007 säger att en nätverkssäkerhetsanalytiker presenterade resultat vid Toorcons hackerkonferens i San Diego den 20 oktober 2007 och sa att Storm är nere på cirka 20 000 aktiva värdar eller ungefär en tiondel av sin tidigare storlek . Detta ifrågasätts dock av säkerhetsforskaren Bruce Schneier , som noterar att nätverket partitioneras för att sälja delarna oberoende.

Anteckningar

externa länkar

• Spamtrackers SpamWiki: Storm
• NetworkWorld: Storm Worms virulens kan ändra taktik
• Wired.com: Analys av Bruce Schneier
• "There's a Storm Coming" , från IBM ISS X-Force Blog
• Trojan.Peacomm (Storm) på Symantec
• Stormy Weather: A Quantitative Assessment of the Storm Web Threat in 2007 (Trend Micro)
• I miljontals Windows samlas den perfekta Stormen , från The Observer.
• April Fool's Day Storm Worm Attack Hits, från PC World.
• Storm och framtiden för social ingenjörskonst från Help Net Security (HNS).
•     Bodmer, Kilger, Carpenter och Jones (2012). Omvänt bedrägeri: Organiserat cyberhot mot exploatering. New York: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495