Sự trở lại của "Storm"
Một số nhà cung cấp phần mềm bảo mật trên thế giới đang cảnh báo về
sự trở lại của sâu Storm, vốn “im hơi lặng tiếng” trong 1 thời gian dài,
đang trở lại và hoạt động mạnh mẽ. Và trong những ngày gần đây, hệ
thống mạng botnet Storm đang là 1 trong những hệ thống máy tính ma rộng
lớn nhất.
Vào thời điểm hệ thống này bao phủ hơn
1 triệu máy tính trong khoảng giữa năm
2006 và 2009, đây là nguyên nhân chính
của số lượng thư rác khổng lồ và các cuộc
tấn công theo kiểu từ chối dịch vụ (DOS
attack). Sâu Storm, chính xác là chương
trình lây nhiễm trojan hơn là sâu, được đặt tên từ khi nhiều hệ thống email
trên toàn thế giới bị lây nhiễm với các tiêu đề có liên quan tới cơn bão Kyrill.
Vào đầu năm 2009, sự hoạt động của loại sâu này dần đi vào im ắng, và đã có
những suy đoán rằng, hệ thống mạng máy tính ma này đã có đủ tiền và đang
tiến hành xây dựng lại kiến trúc hoàn toàn mới của những thế hệ sâu tiếp
theo, 1 phần do sự phân tích của các chuyên gia bảo mật đã nắm rõ tung tích
và cách thức hoạt động của hệ thống này. Bên cạnh đó, lý do khác là sự cạnh
tranh quyết liệt không kém từ phía các “đồng minh” khác như sâu Srizbi,
Mega-D, Rustock, Pushdo…
Trong bài phân tích của Tillmann Werner, Felix Leder và Mark Schlösser
thuộc dự án Honeynet, họ đã chỉ ra rằng biến thể mới của Storm đã thay đổi
rất nhiều so với phiên bản gốc trước kia. Cách thức giao tiếp “truyền thống”
giữa hệ thống bot và C&C servers đang là độc quyền và duy nhất thông qua
giao thức HTTP, mà bot sử dụng để tải các mẫu nhằm tiến hành phát tán thư
rác Viagra... Đồng thời, giao thức kết nối và chia sẻ Peer-to-peer cũng đã
hoàn toàn loại bỏ, và chỉ có khoảng 60% bộ mã cũ được giữ lại và sử dụng.
Cũng theo các nhà nghiên cứu, những người đã công bố tài liệu phân tích chi
tiết của sâu Storm và các công cụ loại bỏ Stormfucker vào khoảng đầu năm
2009, cũng đã đề cập rằng những người đứng đằng sau hệ thống sâu này đã
bán các đoạn mã cho Storm, vì vậy phiên bản mới hiện nay cũng có thể là
hoạt động của hệ thống bot herder mới.
