Robak Storm powraca

Przez dłuższy czas sieć botów działająca w oparciu o Storma była uważana za największą taką "pajęczynę" w historii. Botnet powiązany z robakiem Storm składał się przez pewien czas z ponad miliona zainfekowanych komputerów i między 2006 a początkiem 2009 roku był odpowiedzialny za znaczną część spamowych e-maili zalewających skrzynki i wiele rozproszonych ataków Denial of Service.

Swoją nazwę robak Storm, który tak w zasadzie nie jest robakiem, ale pobieraczem trojanów, zyskał dzięki zainfekowanym wiadomościom poczty elektronicznej z sensacyjnymi doniesieniami dotyczącymi orkanu Kirył.

Na początku 2009 roku zapanował wreszcie spokój. Podejrzewano, że operator sieci botów osiągnął wystarczające zyski i teraz będzie próbował zmienić architekturę botnetu - między innymi dlatego, że coraz więcej specjalistów od antywirusów dzięki swoimi analizom poważnie zaszło za skórę botowi. Nie można jednak też wykluczyć, że operatorzy sieci botów zostali wypchnięci z rynku przez konkurencję (Srizbi, Mega-D, Rustock, Pushdo i inni).

Analizy specjalistów należących do projektu Honeynet - Tillmanna Wernera, Felixa Ledera i Marka Schlossera - wykazały, że ujawniona właśnie nowa wersja charakteryzuje się pewnymi drobnymi różnicami w stosunku do pierwowzoru. Komunikacja pomiędzy botem a serwerem kontroli i zarządzania odbywa się teraz już tylko przez protokół HTTP. W ten sposób boty ściągają wzory e-maili do swoich spamowych kampanii z reklamami viagry i podobnych specyfików. W nowej wersji nie ma już funkcji komunikacji peer-to-peer, w które wyposażone były wcześniejsze edycje. Tym niemniej około 60 proc. kodu wciąż pochodzi ze starego wydania.

Zdaniem specjalistów, którzy już na początku 2009 roku przedstawili analizy robaka i wymierzone przeciwko niemu narzędzie Stormfucker, istnieje też możliwość, że twórcy Storma w pewnym momencie odsprzedali kod źródłowy komuś innemu. Wynikałoby z tego, że nowy wariant należy także do nowego operatora sieci botów.