Najdalej kilka dni temu pisałem o znanym wszystkim botnecie Storm, a dokładnie o jego zerowej aktywności. Aktywność, a dokładnie jej brak została zauważona przez firmę Marshal, która to analizuje sieci botnet, głównie przez pryzmat wysyłanego spamu. Jak się jednak okazało, ze Stormem nie jest wcale tak źle. Firma FireEye zajmująca się natomiast analizą złośliwego oprogramowania, przeanalizowała bardziej szczegółowo ostatni z plików botnetu. Pomijając ciekawostki takie jak fakt, że botnet zaczął porozumiewać się równocześnie za pomocą szyfrowanego i nieszyfrowanego protokołu, w przeciągu dwóch dni, doliczyli się ponad 120 000 komputerów komunikujących się z ich wersją zombiesoftu (120 610 używało szyfrowanego połączenia, a 44,844 nie).
Dodatkowo warto mieć na względzie, że połączenia te nie mogłyby zawierać wszystkich maszyn podłączonych do sieci, gdyż infrastruktura botnetu Storm oparta o model sieci p2p zakłada, że bot musi być podłączony tylko do części sieci (czytaj: nie musi posiadać informacji o całości sieci i wszystkich jej końcówkach). Boty faktycznie nie wysyłają aktualnie masowo spamu, jednak cicho i skrzętnie czekają, przygotowując się zapewne do nowej kampanii promocyjnej :]
Z ciekawostek, które tak bardzo lubię warto przytoczyć, że adres IP (208.72.169.23) jednego z serwerów zarządzających C&C, z którymi łączą się boty, znajduje się bardzo blisko adresu IP (208.72.169.22) serwera zarządzającego botnetem Srizbi, który to wiedzie prym (42.3 %) w udziale wysyłanego spamu na całym świecie. Kolejny dowód na to, że wszystkie drogi prowadzą do jednej mafii ;]
Zabawną sprawą jest literówka, która (zapewne niechcący, a może właśnie chcący) pojawiła się komunikacji botnetu za pomocą WWW. Mianowicie wersja przeglądarki to:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windoss NT 5.1; SV1921)
Okazuje się, że system IDS Snort posiada odpowiednią regułkę w swoich bazach, wykrywająca komunikację botnetu Storm. Jak widać tworząc jakiekolwiek złośliwe oprogramowanie warto uważnie podszywać się pod legalne aplikacje, a nie przepisywać niedbale z nowymi literówkami :)
Część botów Storm przestaje odpowiadać na komunikację pakietami RST (TCP), a co najciekawsze jest to taki sam komunikat jakim posługiwał się rok temu botnet Nugache w lutym tego roku (znów koneksje?). Z tych wszystkich danych specjaliści z FireEye wysuwają wniosek, że komputerów w sieci Storm jest około 200 000, co małą liczbą nie jest. Jak widać mało efektywnie, nie zawsze znaczy mało aktywnie…