Storm - groźniejszy, niż się wydawało

Specjaliści zajmujący się wirusami odkryli nieznane wcześniej funkcje jednego z najbardziej uciążliwych "szkodników" ostatnich miesięcy - konia trojańskiego Storm. Okazało się, że potrafi on nie tylko przekształcać komputery z Windows w boty, ale także... mścić się na swoich 'prześladowcach' i niepostrzeżenie blokować dowolne oprogramowanie na zainfekowanym PC.

Z informacji przedstawionych przez Josha Kormana z firmy IBM/ISS, wynika, że w ostatnich tygodniach doszło do serii dziwnych incydentów. Korman ujawnił, że specjaliści, którzy próbowali "rozpracować" Storma i znaleźć sposoby na jego zniszczenie, stali się celem ataków DDoS (distributed denial of service), które sparaliżowały ich łącza internetowe (lub łącza i serwery ich pracodawców).

Storm (znany też jako Nuwar lub Peacomm) to typowy koń trojański, przystosowany do atakowania komputerów pracujących pod kontrolą systemu Windows. Atak następuje poprzez jedną z luk w zabezpieczeniach OS-u lub którejś z pracujących w nim aplikacji, zaś zainfekowana maszyna przekształcana jest w tzw. komputer-zombie (czyli element botnetu).

Storm wykorzystuje wiele metod dystrybucji - najczęściej jednak ukrywa się na stronie WWW, która na różne sposoby "reklamowana" jest w spamie. Zwykle "ofiara" dostaje e-maila, mającego jakoby zawierać nieznane wcześniej informacje na temat jakiegoś ważnego wydarzenia lub osoby. Wiadomość jest jednak tylko wstępem - aby poznać całą informację, należy kliknąć na zawarty w treści odnośnik. Problem w tym, że nie prowadzi on do tekstu, ale do witryny próbującej na różne sposoby zainfekować system Stormem.

Przedstawiciel ISS/IBM twierdzi, że ataki te były odwetami za próbę zniszczenia Storma. Wygląda na to, że autor "szkodnika" wyposażył go w funkcję, dzięki której możliwe jest wykrycie próby namierzania kontrolującego go serwera. Dzięki temu osoba zarządzająca siecią komputerów zainfekowanych Stormem poznaje adres IP eksperta i może zaatakować go DDoS-em. Korman zasugerował też, że proces ten może być zautomatyzowany - tzn. że robak potrafi sam namierzyć i zaatakować adres, z którego ktoś próbuje go rozpracować. Jego zdaniem, wielu specjalistów ds. wirusów przestało badać Storma w obawie przed atakami - "Wszyscy są trochę przestraszeni - nigdy w życiu nie zetknęliśmy się z taką sytuacją" - mówi Josh Korman. "Ci, którzy zaryzykowali, stracili dostęp do Internetu na wiele dni".

To nie koniec złych informacji. Kilka dni temu eksperci z IBM/ISS wykryli również nowe, niebezpieczne, umiejętności Storma. Okazało się, że najnowsze wersje trojana potrafią w sprytny sposób uszkodzić dowolną aplikację. "Szkodnik" potrafi - poprzez odpowiednią ingerencję w proces uruchamiania programu - sprawić, że dana aplikacja wystartuje, ale nie będzie działała. Użytkownikowi będzie się więc na przykład wydawało, że w systemie jest uruchomiony program antywirusowy - ponieważ po kliknięciu na skrót do niego pokaże się standardowy ekran startowy, zaś na pasku widoczna będzie ikona. Aplikacja będzie jednak zupełnie nieaktywna - nie będzie skanowała plików w poszukiwaniu wirusów.

Nie wiadomo dokładnie, ile komputerów na świecie zarażonych jest Stormem - część ekspertów twierdzi, że kilkaset tysięcy, choć niektórzy szacują tę liczbę nawet na 50 mln. Josh Korman mówi, że IBM/ISS nie prowadził takich analiz - jednak jego zdaniem liczba botów waha się pomiędzy 6 a 15 mln.


Zobacz również