Sự trở lại của Storm

Sự trở lại của "Storm".Một số nhà cung cấp phần mềm bảo mật trên thế giới đang cảnh báo về sự trở lại của sâu Storm, vốn “im hơi lặng tiếng” trong 1 thời gian dài, đang trở lại và hoạt động mạnh mẽ. Và trong những ngày gần đây, hệ thống mạng botnet Storm đang là 1 trong những hệ thống máy tính ma rộng lớn nhất.Vào thời điểm hệ thống này bao phủ hơn 1 triệu máy tính trong khoảng giữa năm 2006 và 2009, đây là nguyên nhân chính của số lượng thư rác khổng lồ và...
Nội dung trích xuất từ tài liệu:
Sự trở lại của "Storm"Sự trở lại của StormMột số nhà cung cấp phần mềm bảo mật trên thế giới đang cảnh báo vềsự trở lại của sâu Storm, vốn “im hơi lặng tiếng” trong 1 thời gian dài,đang trở lại và hoạt động mạnh mẽ. Và trong những ngày gần đây, hệthống mạng botnet Storm đang là 1 trong những hệ thống máy tính ma rộnglớn nhất. Vào thời điểm hệ thống này bao phủ hơn 1 triệu máy tính trong khoảng giữa năm 2006 và 2009, đây là nguyên nhân chính của số lượng thư rác khổng lồ và các cuộc tấn công theo kiểu từ chối dịch vụ (DOS attack). Sâu Storm, chính xác là chươngtrình lây nhiễm trojan hơn là sâu, được đặt tên từ khi nhiều hệ thống emailtrên toàn thế giới bị lây nhiễm với các tiêu đề có liên quan tới cơn bão Kyrill.Vào đầu năm 2009, sự hoạt động của loại sâu này dần đi vào im ắng, và đã cónhững suy đoán rằng, hệ thống mạng máy tính ma này đã có đủ tiền và đangtiến hành xây dựng lại kiến trúc hoàn toàn mới của những thế hệ sâu tiếptheo, 1 phần do sự phân tích của các chuyên gia bảo mật đã nắm rõ tung tíchvà cách thức hoạt động của hệ thống này. Bên cạnh đó, lý do khác là sự cạnhtranh quyết liệt không kém từ phía các “đồng minh” khác như sâu Srizbi,Mega-D, Rustock, Pushdo…Trong bài phân tích của Tillmann Werner, Felix Leder và Mark Schlösserthuộc dự án Honeynet, họ đã chỉ ra rằng biến thể mới của Storm đã thay đổirất nhiều so với phiên bản gốc trước kia. Cách thức giao tiếp “truyền thống”giữa hệ thống bot và C&C servers đang là độc quyền và duy nhất thông quagiao thức HTTP, mà bot sử dụng để tải các mẫu nhằm tiến hành phát tán thưrác Viagra... Đồng thời, giao thức kết nối và chia sẻ Peer-to-peer cũng đãhoàn toàn loại bỏ, và chỉ có khoảng 60% bộ mã cũ được giữ lại và sử dụng.Cũng theo các nhà nghiên cứu, những người đã công bố tài liệu phân tích chitiết của sâu Storm và các công cụ loại bỏ Stormfucker vào khoảng đầu năm2009, cũng đã đề cập rằng những người đứng đằng sau hệ thống sâu này đãbán các đoạn mã cho Storm, vì vậy phiên bản mới hiện nay cũng có thể làhoạt động của hệ thống bot herder mới.