El Storm Worm (llamado así por el finlandés compañía F-Secure ) es un phishing puerta trasera [1] [2] troyano que afecta a ordenadores que utilizan Microsoft sistemas operativos, [3] [4] [5] descubierto el 17 de enero de 2007. [3] El gusano también se conoce como:
- Small.dam o Trojan-Downloader.Win32.Small.dam ( F-Secure )
- CME-711 ( INGLETE )
- W32 / Nuwar @ MM y Downloader-BAI (variante específica) ( McAfee )
- Troj / Dorf y Mal / Dorf ( Sophos )
- Trojan.DL.Tibs.Gen! Pac13 [3]
- Trojan.Downloader-647
- Trojan.Peacomm ( Symantec )
- TROJ_SMALL.EDW ( Trend Micro )
- Win32 / Nuwar ( ESET )
- Win32/Nuwar.N@MM!CME-711 ( Windows Live OneCare )
- W32 / Zhelatin ( F-Secure y Kaspersky )
- Trojan.Peed , Trojan.Tibs ( BitDefender )
- Para obtener información sobre la botnet compuesta por máquinas infectadas con este gusano, consulte Storm botnet .
Storm Worm comenzó a atacar miles de computadoras (en su mayoría privadas) en Europa y Estados Unidos el viernes 19 de enero de 2007, utilizando un mensaje de correo electrónico con un asunto sobre un desastre meteorológico reciente, "230 muertos mientras la tormenta azota Europa". . [6] Durante el fin de semana hubo seis oleadas posteriores del ataque. [7] Al 22 de enero de 2007, Storm Worm representó el 8% de todas las infecciones de malware a nivel mundial. [8]
Según PCWorld , hay pruebas de que Storm Worm era de origen ruso , posiblemente rastreable hasta la Russian Business Network . [9]
Maneras de actuar
Originalmente propagado en mensajes sobre la tormenta de viento europea Kyrill , Storm Worm también se ha visto en correos electrónicos con los siguientes temas: [10]
–Amado Hidalgo, investigador del grupo de respuesta de seguridad de Symantec . [11]
- ¡Un asesino a los 11 años, es libre a los 21 y vuelve a matar!
- La secretaria de Estado de Estados Unidos , Condoleezza Rice, pateó a la canciller alemana, Angela Merkel
- Genocidio de musulmanes británicos
- Adolescentes desnudos atacan al director de la casa.
- 230 muertos mientras la tormenta azota Europa. [El gusano se denominó "Tormenta" debido al asunto de este mensaje.]
- Re: tu texto
- Musulmanes radicales bebiendo sangre de enemigos.
- Misil chino / ruso derribado satélite / avión ruso / chino
- ¡Saddam Hussein sano y salvo!
- ¡Saddam Hussein vivo!
- Líder venezolano: "Comencemos la guerra".
- Fidel Castro muerto.
- Si supiera
- FBI contra Facebook
Cuando se abre un archivo adjunto, el malware instala el servicio wincom32 e inyecta una carga útil, pasando paquetes a destinos codificados dentro del propio malware. Según Symantec, también puede descargar y ejecutar el troyano Trojan.Abwiz.F y el gusano W32.Mixor.Q@mm . [10] El troyano aprovecha el spam con nombres como "postal .exe " y "Flash Postcard.exe", con más cambios respecto a la ola original a medida que el ataque muta. [11] Algunos de los nombres conocidos de los archivos adjuntos incluyen: [10]
- Postcard.exe
- ecard.exe
- FullVideo.exe
- Story.exe completo
- Video.exe
- Leer más.exe
- FullClip.exe
- GreetingPostcard.exe
- MoreHere.exe
- FlashPostcard.exe
- GreetingCard.exe
- ClickHere.exe
- ReadMore.exe
- FlashPostcard.exe
- FullNews.exe
- NflStatTracker.exe
- ArcadeWorld.exe
- ArcadeWorldGame.exe
Más tarde, como confirmó F-Secure, el malware comenzó a difundir temas como "Love birds" y "Touched by Love". Estos correos electrónicos contienen enlaces a sitios web que alojan algunos de los siguientes archivos, que se confirma que contienen el virus:
- with_love.exe
- withlove.exe
- love.exe
- frommetoyou.exe
- iheartyou.exe
- fck2008.exe
- fck2009.exe
Según Joe Stewart, director de investigación de malware de SecureWorks , Storm sigue siendo increíblemente resistente, en parte porque el caballo de Troya que usa para infectar sistemas cambia su código de empaque cada 10 minutos y, una vez instalado, el bot usa fast flux para cambiar la IP direcciones para sus servidores de comando y control. [12]
Botnetting
La máquina comprometida se fusiona en una botnet . Si bien la mayoría de las redes de bots se controlan a través de un servidor central , que si se encuentra se puede eliminar para destruir la red de bots, Storm Worm siembra una red de bots que actúa de manera similar a una red de igual a igual , sin control centralizado. [7] Cada máquina comprometida se conecta a una lista de un subconjunto de toda la botnet: alrededor de 30 a 35 máquinas comprometidas, que actúan como hosts . Si bien cada uno de los hosts infectados comparte listas de otros hosts infectados, ninguna máquina tiene una lista completa de la botnet completa; cada uno solo tiene un subconjunto, lo que dificulta medir la verdadera extensión de la red zombie . [7] El 7 de septiembre de 2007, las estimaciones del tamaño de la botnet Storm variaban entre 1 y 10 millones de computadoras. [13] Investigadores de la Universidad de Mannheim y el Institut Eurecom han estimado que los nodos de tormenta en línea concurrentes están entre 5.000 y 40.000. [14]
Rootkit
Otra acción que realiza Storm Worm es instalar el rootkit Win32.agent.dh. [7] Symantec señaló que el código de rootkit defectuoso anula algunos de los planes del autor de Storm Worm. Las variantes posteriores, a partir de julio de 2007, cargaron el componente rootkit al parchear los controladores de Windows existentes, como tcpip.sys y cdrom.sys, con un código auxiliar que carga el módulo del controlador del rootkit sin que sea necesario que tenga una entrada en la lista de controladores de Windows. [15]
día de los Inocentes
El 1 de abril de 2008, se lanzó un nuevo gusano de tormenta en la red, con títulos de temas con temática de April Fools. [ cita requerida ]
Realimentación
La lista de compañías antivirus que pueden detectar Storm Worm incluye Authentium , BitDefender , ClamAV , eSafe , Eset , F-Prot , F-Secure , Kaspersky , McAfee , Sophos , Symantec , Trend Micro , avast! y Windows Live OneCare . [16] Sus autores actualizan constantemente Storm Worm para evadir la detección del antivirus, por lo que esto no implica que todos los proveedores enumerados anteriormente sean capaces de detectar todas las variantes de Storm Worm. Un sistema de detección de intrusiones ofrece cierta protección contra el rootkit, ya que puede advertir que el proceso de Windows "services.exe" está intentando acceder a Internet usando los puertos 4000 o 7871. [11] Windows 2000 , Windows XP y presumiblemente Windows Vista pueden ser infectado por todas las variantes de Storm Worm, pero Windows Server 2003 no puede, ya que el autor del malware excluyó específicamente esa edición de Windows del código. [11] Además, la capa de descifrado para algunas variantes requiere funciones de la API de Windows que solo están disponibles en Windows XP Service Pack 2 y posteriores, lo que previene eficazmente la infección en versiones anteriores de Windows.
Peter Gutmann envió un correo electrónico [17] señalando que la red de bots Storm comprende entre 1 y 10 millones de PC, dependiendo de cuyas estimaciones creas. Aunque el Dr. Gutmann hace una comparación de los recursos de hardware entre la Tormenta botnet y memoria distribuida y de memoria compartida distribuida ordenadores de alto rendimiento en el TOP500 , coincidencias exactas de funcionamiento que no eran su intención más bien una apreciación más general del tamaño de la red de bots en comparación con otros recursos informáticos masivos. Considere, por ejemplo, el tamaño de la botnet Storm en comparación con proyectos de computación en red como World Community Grid .
Un artículo en PCWorld [18] con fecha del 21 de octubre de 2007 dice que un analista de seguridad de red presentó hallazgos en la conferencia de hackers Toorcon en San Diego el 20 de octubre de 2007, diciendo que Storm se ha reducido a aproximadamente 20,000 hosts activos o aproximadamente una décima parte de su tamaño anterior. Sin embargo, esto está siendo cuestionado por el investigador de seguridad Bruce Schneier , [19] quien señala que la red se está dividiendo para vender las partes de forma independiente.
Notas
- ^ Шуб, Александр."Штормовой червь" атакует Интернет(en ruso) . Consultado el 20 de enero de 2007 .
- ^ Prince, Brian (26 de enero de 2007). " ' Storm Worm' continúa extendiéndose alrededor del globo" . FOXNews.com . Consultado el 27 de enero de 2007 .
- ^ a b c "Páginas de información de troyanos F-Secure: Small.DAM" . Consultado el 25 de enero de 2007 .
- ^ Según Symantec, que lo detectó como troyano .Packed.8. Las definiciones de LiveUpdate también lo identificaron como Trojan.Peacomm
- ^ " " Gusano de tormenta "chapotea a través de Internet" . 2007-01-19 . Consultado el 20 de enero de 2007 .
- ^ "El caos de la tormenta provoca una oleada de virus" . BBC News . 19 de enero de 2007 . Consultado el 19 de enero de 2007 .
- ^ a b c d Espiner, Tom (22 de enero de 2007). " ' Storm Worm' se desliza" . ZDNet . Consultado el 22 de enero de 2007 .
- ^ Keizer, Gregg (22 de enero de 2007). " Oleadas de spam de ' tormenta', las infecciones aumentan" . InformationWeek . Consultado el 22 de enero de 2007 .
- ^ "El enemigo público número uno de Internet" - PCWorld
- ^ a b c Suenaga, Masaki (22 de enero de 2007). "Trojan.Peacomm" . Consultado el 22 de enero de 2007 .
- ^ a b c d Keizer, Gregg (23 de enero de 2007). " El troyano ' Storm' llega a 1,6 millones de PC; Vista puede ser vulnerable" . InformationWeek . Consultado el 24 de enero de 2007 .
- ^ Robert Vamosi (7 de agosto de 2008). "Gusano de tormenta" . CNET.com .
- ^ Peter Gutmann (31 de agosto de 2007). "La supercomputadora más poderosa del mundo se conecta" . Divulgación completa . Consultado el 31 de agosto de 2007 .
- ^ Kelly Jackson Higgins (23 de abril de 2008). "Los investigadores se infiltran y 'contaminan' Storm Botnet" . Darkreading.com . Consultado el 24 de abril de 2008 .
- ^ SophosLabs (28 de julio de 2007). "Parchear archivos del sistema: Parte II" . Sophos . Consultado el 5 de diciembre de 2010 .
- ^ Entrada de blog de Johannes Ulrich, director técnico delCentro de tormentas de Internet del Instituto SANS
- ^ "Correo electrónico de Peter Gutmann" .
- ^ "Storm Worm ahora es sólo una tormenta" .
- ^ "Schneier sobre seguridad: el gusano de tormenta" .
enlaces externos
- Rastreadores de spam SpamWiki: Storm
- NetworkWorld: la virulencia de Storm Worm puede cambiar de táctica
- Wired.com: análisis de Bruce Schneier
- "Se acerca una tormenta" , del blog IBM ISS X-Force
- Trojan.Peacomm (Storm) en Symantec
- Stormy Weather: una evaluación cuantitativa de la amenaza de Storm Web en 2007 (Trend Micro)
- En millones de Windows, se está reuniendo la tormenta perfecta , de The Observer.
- Ataques de gusanos de tormenta del Día de los Inocentes , de PC World.
- Storm y el futuro de la ingeniería social de Help Net Security (HNS).
- Bodmer, Kilger, Carpenter y Jones (2012). Engaño inverso: contra-explotación organizada de amenazas cibernéticas. Nueva York: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495