于2007年首次出現的風暴蠕蟲能夠感染計算機,使電子郵件收件箱和郵件服務器充斥著垃圾郵件。這種風暴蠕蟲近期又重新出現,但第一時間阻止風暴蠕蟲的研究人員表示,最新的變種可能不會構成重大威脅。
蜜網項目研究所的惡意軟件分析師Felix Leder指出,新的href=”hxxps://www.honeynet.org/node/539″”>風暴變種中包含錯誤,使其更容易破解。Leder是審查原暴風蠕蟲組織的一員,他找到了破解新變種的方法,他說新的變種中包含有大約三分之二的原風暴代碼。
Leder在SearchSecurity.com網站的采訪中說道,“到目前為止,它看起來并沒有那些HTTP僵尸網絡危險。由于舊的協議問題,它沒有Conficker、Zeus,或其他蠕蟲危險。 ”
Leder說,惡意軟件研究人員仍在努力確定最新變種的大小。新的蠕蟲復制了舊的風暴蠕蟲中幾乎所有的代碼,只做了很小一部分的調整。它的新作者用HTTP方法來替代之前的點對點命令和控制通信方法。最新的風暴變種設計是用來接收來自荷蘭的命令和控制服務器的命令的。
Leder說,新變種舍棄了點對點方法,這使它更難從企業網絡合法流量中發現。一個研究團隊,其中包括Leder、Tillmann Werner和Mark Schloesser,分析了早期的代碼庫,并開發了一個能有效清除整個原風暴僵尸網絡的工具。
Leder解釋說,“對于新變種,我們并不感到意外。事實上,他們重新使用舊協議,所以具有舊協議存在的所有問題。新的暴風變種可以很容易被HTTP用戶代理的輸入錯誤發現。”
Leder說,目前還不清楚新的惡意軟件是否有新的關系或是由同一惡意軟件編寫者所修改。惡意軟件作者在不斷改變他們的戰術,迫使安全廠商更新防垃圾郵件引擎來檢測各種形式的垃圾郵件。風暴是第一個在垃圾郵件中產生PDF文件的蠕蟲,這樣可以躲避反病毒軟件的檢測,欺騙用戶相信它是一個商業信函電子郵件。
獨立僵尸網絡研究機構(Shadowserver基金會)的安全專家Steven Adair表示,他們的honeypot在4月13日收集了第一個惡意軟件變種。Adair說,新的風暴蠕蟲病毒是通過路過式下載傳播的,其他攻擊通常由自動攻擊工具包執行。
Adair說,“它使用一個單一的IP地址,這使它更容易被撤下,現在我可以說這是一個相當低的威脅,因為它不是很普遍。它不使用P2P基礎設施,也不使用快速通量DNS技巧。”
CA公司研究工程師Ricardo Robielos III在博客中寫道,新的風暴蠕蟲病毒的代碼與舊的類似,它包含一個發送垃圾郵件的電子郵件模板列表。新的風暴蠕蟲發出大量的制藥和成人約會垃圾郵件。
Robielos寫道,“這個Win32/Pecoan(又稱為Storm、Nuwar、Zhelatin、Dorf)變種目前處于活躍狀態,正在向目標收件人發出大量的垃圾郵件。該蠕蟲的作者也利用許多免費的URL縮短服務來偽裝成URL重定向鏈接到垃圾郵件正文。”
”
