Một số nhà cung cấp phần mềm bảo mật trên thế giới đang cảnh báo về sự trở lại của sâu Storm, vốn “im hơi lặng tiếng” trong 1 thời gian dài, đang trở lại và hoạt động mạnh mẽ. Và trong những ngày gần đây, hệ thống mạng botnet Storm đang là 1 trong những hệ thống máy tính ma rộng lớn nhất.
Vào thời điểm hệ thống này bao phủ hơn 1 triệu máy tính trong khoảng giữa năm 2006 và 2009, đây là nguyên nhân chính của số lượng thư rác khổng lồ và các cuộc tấn công theo kiểu từ chối dịch vụ (DOS attack). Sâu Storm, chính xác là chương trình lây nhiễm trojan hơn là sâu, được đặt tên từ khi nhiều hệ thống email trên toàn thế giới bị lây nhiễm với các tiêu đề có liên quan tới cơn bão Kyrill.
Vào đầu năm 2009, sự hoạt động của loại sâu này dần đi vào im ắng, và đã có những suy đoán rằng, hệ thống mạng máy tính ma này đã có đủ tiền và đang tiến hành xây dựng lại kiến trúc hoàn toàn mới của những thế hệ sâu tiếp theo, 1 phần do sự phân tích của các chuyên gia bảo mật đã nắm rõ tung tích và cách thức hoạt động của hệ thống này. Bên cạnh đó, lý do khác là sự cạnh tranh quyết liệt không kém từ phía các “đồng minh” khác như sâu Srizbi, Mega-D, Rustock, Pushdo…
Trong bài phân tích của Tillmann Werner, Felix Leder và Mark Schlösser thuộc dự án Honeynet, họ đã chỉ ra rằng biến thể mới của Storm đã thay đổi rất nhiều so với phiên bản gốc trước kia. Cách thức giao tiếp “truyền thống” giữa hệ thống bot và C&C servers đang là độc quyền và duy nhất thông qua giao thức HTTP, mà bot sử dụng để tải các mẫu nhằm tiến hành phát tán thư rác Viagra... Đồng thời, giao thức kết nối và chia sẻ Peer-to-peer cũng đã hoàn toàn loại bỏ, và chỉ có khoảng 60% bộ mã cũ được giữ lại và sử dụng.
Cũng theo các nhà nghiên cứu, những người đã công bố tài liệu phân tích chi tiết của sâu Storm và các công cụ loại bỏ Stormfucker vào khoảng đầu năm 2009, cũng đã đề cập rằng những người đứng đằng sau hệ thống sâu này đã bán các đoạn mã cho Storm, vì vậy phiên bản mới hiện nay cũng có thể là hoạt động của hệ thống bot herder mới.
Theo QuanTriMang (h-online)
Bình luận