Microsoft: "Załatwiliśmy Storma!"

"Zorientowaliśmy się, że jesteśmy w stanie go ustrzelić i zrobiliśmy to" - stwierdził Jimmy Kuo, szef działającego w ramach Microsoftu centrum zwalczania złośliwego oprogramowania. "Ustrzelonym" jest osławiony botnet Storm - czyli największa swego czasu sieć komputerów-zombie, wykorzystywanych przez przestępców do rozsyłania spamu, przeprowadzania ataków. Od kilku miesięcy Storm systematycznie się zmniejszał i obecnie wypadł z czołówki największych botnetów - przedstawiciele koncernu z Redmond ogłosili właśnie, że jest to ich zasługa.

Jimmy Kuo oświadczył, iż "strzelbą", która posłużyła do uśmiercenia Storma (a przynajmniej poważnego osłabienia go) było darmowe narzędzie antywirusowe (o niezbyt oryginalnej nazwie Malicious Software Removal Tool - czyli... Narzędzie do Usuwania Złośliwego Oprogramowania), udostępniane przez Microsoft użytkownikom Windows.

Łeb w łeb

Przedstawiciel Microsoftu poinformował, że firma już jakiś czas temu zorientowała się, iż autorzy tzw. botworma (tym mianem określa się robaka przystosowanego do zmieniania komputerów w element sieci zombiePC) Storm dostosowali tempo swoich prac do częstotliwości udostępniania przez koncern nowych wersji MSRT . Nowe wersje Storma pojawiały się w Sieci zwykle na dzień lub dwa przed opublikowaniem przez Microsoft uaktualnionego narzędzia antywirusowego - a że Microsoft uaktualnia MSRT raz na miesiąc, to użytkownicy przez blisko 30 dni korzystali z programu, który nie był w stanie wykryć najnowszej wersji botworma. Opóźnienie wynikało z tego, że ostatnie dni przed udostępnieniem nowej wersji MSRT wykorzystywane były na testy, a nie na tworzenie nowych definicji - przestępcy z tego korzystali.

Storm - rys historyczny

Storm pojawił się w Sieci na początku 2007 r. - pierwsze wersje robaka przekształcającego komputer w element Sieciu komputerów zombie ukrywały się w e-mailach mających jakoby zawierać informację o huraganowych wiatrach, które w styczniu 2007 r. przeszły przez Europę (stąd jego nazwa - Storm, czyli burza; szkodnik nazywany był też Nuwar lub Peacomm). Do tej pory nie ustalono, kto odpowiada za kontrolowanie tego botnetu - najprawdopodobniej jednak są to Rosjanie z grupy przestępczej RBN.

Atak zwykle następował poprzez jedną z luk w zabezpieczeniach OS-u lub którejś z pracujących w nim aplikacji, zaś zainfekowana maszyna przekształcana była w tzw. komputer-zombie (czyli element botnetu). Storm wykorzystywał wiele metod dystrybucji - najczęściej jednak ukrywał się na stronie WWW, która na różne sposoby "reklamowana" jest w spamie. Zwykle "ofiara" dostawała e-maila, mającego jakoby zawierać nieznane wcześniej informacje na temat jakiegoś ważnego wydarzenia lub osoby. Wiadomość była jednak tylko wstępem - aby poznać całą informację, należało kliknąć na zawarty w treści odnośnik. Problem w tym, że nie prowadziła on do tekstu, ale do witryny próbującej na różne sposoby zainfekować system Stormem.

Cechą charakterystyczną Storma było to, że jego autorzy błyskawicznie reagowali na bieżące wydarzenia - niekiedy nawet co kilka dni w Sieci pojawiała się nowe wersja tematyczna spamu zawierającego odnośniku do szkodnika. Jeśli nic ważnego nie działo się akurat w świecie polityki czy rozrywki, Storm ukrywał się np. w e-mailach walentynkowych, świątecznych itp...


Zobacz również