La botnet Storm o botnet del gusano Storm (también conocida como botnet Dorf y malware Ecard [1] ) es una red controlada remotamente de computadoras "zombis" (o " botnet ") que han sido vinculadas por Storm Worm , un caballo de Troya que se propaga a través de correo no deseado . En su apogeo en septiembre de 2007, la botnet Storm se ejecutaba en entre 1 millón y 50 millones de sistemas informáticos, [2] [3] y representaba el 8% de todo el malware en computadoras Microsoft Windows . [4]Fue identificado por primera vez alrededor de enero de 2007, después de haber sido distribuido por correo electrónico con temas como "230 muertos mientras la tormenta azota Europa", lo que le da su conocido nombre. La botnet comenzó a declinar a fines de 2007 y, a mediados de 2008, se redujo a infectar alrededor de 85.000 computadoras, mucho menos de lo que había infectado un año antes. [5]
Nombre común | Botnet de tormenta |
---|---|
Nombre técnico |
|
Alias | Dorf, Tarjeta electrónica |
Punto de origen | Rusia |
Autor (es) | Russian Business Network (especulado) |
Sistema (s) operativo (s) afectado (s) | Windows 95 , Windows 98 , Windows ME , Windows XP |
En diciembre de 2012, no se han encontrado los creadores originales de Storm. La botnet Storm ha mostrado comportamientos defensivos que indicaron que sus controladores estaban protegiendo activamente la botnet contra los intentos de rastrearla y deshabilitarla, atacando específicamente las operaciones en línea de algunos proveedores de seguridad e investigadores que habían intentado investigarla. [6] El experto en seguridad Joe Stewart reveló que a finales de 2007, los operadores de la botnet comenzaron a descentralizar aún más sus operaciones, en posibles planes para vender partes de la botnet Storm a otros operadores. Según los informes, era lo suficientemente potente como para obligar a países enteros a desconectarse de Internet, y se estimaba que era capaz de ejecutar más instrucciones por segundo que algunas de las mejores supercomputadoras del mundo . [7] La Oficina Federal de Investigaciones de los Estados Unidos consideró que la botnet era un riesgo importante para aumentar el fraude bancario , el robo de identidad y otros delitos cibernéticos . [8] [9]
Orígenes
Detectada por primera vez en Internet en enero de 2007, la botnet y el gusano Storm se denominan así debido a las líneas de asunto relacionadas con la tormenta que empleó inicialmente su correo electrónico infeccioso , como "230 muertos mientras la tormenta azota Europa". Los temas provocadores posteriores incluyeron "misiles chinos derribaron un avión estadounidense" y "la secretaria de Estado estadounidense , Condoleezza Rice, ha pateado a la canciller alemana Angela Merkel ". [2] [10] [11] Algunos profesionales de la seguridad de la información sospechan que conocidos spammers fugitivos , incluido Leo Kuvayev , pueden haber estado involucrados en el funcionamiento y control de la botnet Storm. [12] Según el periodista de tecnología Daniel Tynan , escribiendo bajo su seudónimo " Robert X. Cringely ", una gran parte de la culpa de la existencia de la botnet Storm recaía en Microsoft y Adobe Systems . [13] Otras fuentes afirman que el método principal de Storm Worm para la adquisición de víctimas era atrayendo a los usuarios a través de esquemas de ingeniería social ( trucos de confianza ) que cambiaban con frecuencia . [14] Según Patrick Runald, la botnet Storm tenía un fuerte enfoque estadounidense y probablemente tenía agentes trabajando para respaldarla dentro de los Estados Unidos. [15] Sin embargo, algunos expertos creen que los controladores de la botnet Storm eran rusos , algunos apuntaban específicamente a Russian Business Network , citando que el software Storm menciona un odio hacia la empresa de seguridad con sede en Moscú Kaspersky Lab , e incluye la palabra rusa "buldozhka , " que significa" bulldog ". [dieciséis]
Composición
La botnet, o red zombi, comprende computadoras que ejecutan Microsoft Windows como sistema operativo . [17] Una vez infectada, una computadora se conoce como bot . Luego, este bot realiza tareas automatizadas, desde recopilar datos sobre el usuario hasta atacar sitios web y reenviar correo electrónico infectado, sin el conocimiento o permiso de su propietario. Las estimaciones indican que entre 5.000 y 6.000 computadoras se dedican a propagar la propagación del gusano mediante el uso de correos electrónicos con archivos adjuntos infectados; La botnet ha enviado 1.200 millones de mensajes de virus hasta septiembre de 2007, incluido un récord de 57 millones solo el 22 de agosto de 2007. [17] Lawrence Baldwin, un especialista en informática forense , fue citado diciendo: "De manera acumulativa, Storm está enviando miles de millones de mensajes al día. Podría ser de dos dígitos en miles de millones, fácilmente". [2] Uno de los métodos utilizados para atraer a las víctimas a sitios web que alojan infecciones son las ofertas de música gratuita de artistas como Beyoncé Knowles , Kelly Clarkson , Rihanna , The Eagles , Foo Fighters , R. Kelly y Velvet Revolver . [18] La detección basada en firmas, la principal defensa de la mayoría de los sistemas informáticos contra las infecciones de virus y malware, se ve obstaculizada por la gran cantidad de variantes de Storm. [19]
Los servidores back-end que controlan la propagación de la botnet y el gusano Storm recodifican automáticamente su software de infección distribuido dos veces por hora, para nuevas transmisiones, lo que dificulta a los proveedores de antivirus detener la propagación del virus y la infección. Además, la ubicación de los servidores remotos que controlan la botnet está oculta detrás de una técnica de DNS en constante cambio llamada " fast flux ", lo que dificulta la búsqueda y la detención de sitios de alojamiento de virus y servidores de correo. En resumen, el nombre y la ubicación de tales máquinas se cambian y rotan con frecuencia, a menudo minuto a minuto. [20] Los operadores de la botnet Storm controlan el sistema mediante técnicas peer-to-peer , lo que dificulta el monitoreo externo y la desactivación del sistema. [21] [22] No existe un "punto de comando y control " central en la botnet Storm que pueda cerrarse. [23] La botnet también utiliza tráfico cifrado . [24] Los esfuerzos para infectar computadoras generalmente giran en torno a convencer a las personas de que descarguen archivos adjuntos de correo electrónico que contienen el virus mediante una manipulación sutil . En un caso, los controladores de la botnet aprovecharon el fin de semana inaugural de la Liga Nacional de Fútbol , enviando correo con "programas de seguimiento de fútbol" que no hacían más que infectar la computadora de un usuario. [25] [26] Según Matt Sergeant, jefe de tecnología antispam de MessageLabs, "En términos de poder, [la botnet] destruye por completo a las supercomputadoras. Si sumas las 500 mejores supercomputadoras, las derrota a todas. con sólo 2 millones de sus máquinas. Es muy aterrador que los delincuentes tengan acceso a tanta potencia informática, pero no hay mucho que podamos hacer al respecto ". [17] Se estima que sólo se utiliza actualmente entre el 10% y el 20% de la capacidad y potencia total de la botnet Storm. [27]
El experto en seguridad informática Joe Stewart detalló el proceso mediante el cual las máquinas comprometidas se unen a la botnet: los intentos de unirse a la botnet se realizan lanzando una serie de archivos EXE en la máquina comprometida, en etapas. Por lo general, se nombran en una secuencia desde game0.exe hasta game5.exe , o similar. Luego, continuará lanzando ejecutables sucesivamente. Por lo general, realizan lo siguiente: [28]
game0.exe
- Puerta trasera / descargadorgame1.exe
- Relé SMTPgame2.exe
- Ladrón de direcciones de correo electrónicogame3.exe
- Distribuidor de virus por correo electrónicogame4.exe
- Herramienta de ataque de denegación de servicio distribuida (DDoS)game5.exe
- Copia actualizada del cuentagotas Storm Worm
En cada etapa, el sistema comprometido se conectará a la botnet; DNS de flujo rápido hace que el seguimiento de este proceso sea excepcionalmente difícil.
Este código se ejecuta desde % windir% \ system32 \ wincom32.sys en un sistema Windows, a través de un rootkit del kernel , y todas las conexiones a la botnet se envían a través de una versión modificada del protocolo de comunicaciones eDonkey / Overnet .
Método
La botnet Storm y sus variantes emplean una variedad de vectores de ataque, y también existe una variedad de pasos defensivos. Se observó que la botnet Storm se estaba defendiendo y atacando sistemas informáticos que buscaban en línea sistemas informáticos infectados por el virus Storm. [29] La botnet se defenderá con contraataques DDoS para mantener su propia integridad interna. [30] En ciertos momentos, el gusano Storm utilizado para difundir la botnet ha intentado liberar cientos o miles de versiones de sí mismo en Internet, en un intento concentrado de abrumar las defensas de las firmas de seguridad antivirus y malware. [31] Según Joshua Corman, un investigador de seguridad de IBM , "Esta es la primera vez que recuerdo haber visto investigadores que en realidad tenían miedo de investigar un exploit". [32] Los investigadores aún no están seguros de si las defensas y los contraataques de la botnet son una forma de automatización o si son ejecutados manualmente por los operadores del sistema. [32] "Si intentas adjuntar un depurador o consultas los sitios en los que está informando, este lo reconoce y te castiga instantáneamente. [Más en] SecureWorks , una parte de él DDoS-ed [distribuido-denegación-de-servicio atacado] a investigador fuera de la red. Cada vez que escucho de un investigador que intenta investigar, automáticamente es castigado. Sabe que está siendo investigado y lo castiga. Se defiende ", dijo Corman. [1]
Spameater.com, así como otros sitios como 419eater.com y Artists Against 419 , que se ocupan del fraude 419 por correo electrónico no deseado , han experimentado ataques DDoS , lo que los ha dejado temporalmente completamente inoperables. Los ataques DDoS consisten en realizar llamadas de red paralelas masivas a esas y otras direcciones IP de destino, sobrecargando las capacidades de los servidores y evitando que respondan a las solicitudes. [33] Otros grupos antispam y antifraude, como el Proyecto Spamhaus , también fueron atacados. El webmaster de Artists Against 419 dijo que el servidor del sitio web sucumbió después de que el ataque aumentó a más de 100 Mbit . Se perpetraron ataques similares contra más de una docena de hosts de sitios antifraude. Jeff Chan, un investigador de spam, declaró: "En términos de mitigar Storm, es un desafío en el mejor de los casos e imposible en el peor, ya que los malos controlan muchos cientos de megabits de tráfico. Existe alguna evidencia de que pueden controlar cientos de Gigabits de tráfico, lo que es suficiente para obligar a algunos países a salir de Internet ". [7]
Los sistemas de la botnet Storm también toman medidas para defenderse localmente, en los sistemas informáticos de las víctimas. La botnet, en algunos sistemas comprometidos, crea un proceso informático en la máquina Windows que notifica a los sistemas Storm cada vez que comienza un nuevo programa u otros procesos. Anteriormente, los gusanos Storm le decían a los otros programas, como software antivirus o antimalware, que simplemente no se ejecutaran. Sin embargo, según la investigación de seguridad de IBM, las versiones de Storm ahora simplemente "engañan" al sistema informático local haciéndole creer que ha ejecutado el programa hostil con éxito, pero de hecho, no están haciendo nada. "Los programas, incluidos no solo archivos AV exes , dlls y sys , sino también software como las aplicaciones P2P BearShare y eDonkey , parecerán ejecutarse correctamente, aunque en realidad no hicieron nada, lo que es mucho menos sospechoso que un proceso. que se termina repentinamente desde el exterior ", dijo Richard Cohen de Sophos . Los usuarios comprometidos y los sistemas de seguridad relacionados asumirán que el software de seguridad se está ejecutando correctamente cuando en realidad no lo está. [34]
El 17 de septiembre de 2007, un sitio web del Partido Republicano en los Estados Unidos se vio comprometido y se usó para propagar el gusano Storm y la botnet. [35] [36] En octubre de 2007, la botnet se aprovechó de las fallas en la aplicación captcha de YouTube en sus sistemas de correo para enviar correos electrónicos no deseados dirigidos a los propietarios de Xbox con una estafa que implicaba ganar una versión especial del videojuego Halo. 3 . [37] Otros métodos de ataque incluyen el uso de atractivas imágenes animadas de gatos riendo para que la gente haga clic en la descarga de un software troyano y engañar a los usuarios de Yahoo! 's GeoCities servicio de descarga de software que se afirma que es necesario para el uso en sí GeoCities. [38] [39] El ataque GeoCities en particular fue llamado un "vector de ataque completo" por Paul Ferguson de Trend Micro , e involucró a miembros de Russian Business Network , un conocido servicio de spam y malware. [39] En la víspera de Navidad de 2007, la botnet Storm comenzó a enviar mensajes con temas navideños que giraban en torno al interés de los hombres por las mujeres, con títulos como "Find Some Christmas Tail", "Las doce niñas de la Navidad" y "Mrs. Claus ¡Está fuera esta noche! " y fotos de mujeres atractivas. Se describió como un intento de atraer más sistemas desprotegidos a la botnet y aumentar su tamaño durante las vacaciones, cuando las actualizaciones de seguridad de los proveedores de protección pueden tardar más en distribuirse. [40] [41] Un día después de que se distribuyeran los correos electrónicos con strippers navideños , los operadores de la botnet Storm comenzaron inmediatamente a enviar nuevos correos electrónicos infectados que decían desear a sus destinatarios un "¡Feliz año nuevo 2008!" [42]
En enero de 2008, se detectó por primera vez que la botnet estaba involucrada en ataques de phishing contra las principales instituciones financieras, dirigidos tanto a Barclays como a Halifax . [43]
Cifrado y ventas
Alrededor del 15 de octubre de 2007, se descubrió que partes de la botnet Storm y sus variantes podrían estar a la venta. [44] [45] Esto se hace mediante el uso de claves de seguridad únicas en el cifrado del tráfico y la información de Internet de la botnet. [24] Las claves únicas permitirán que cada segmento o subsección de la botnet Storm se comunique con una sección que tenga una clave de seguridad coincidente. Sin embargo, esto también puede permitir a las personas detectar, rastrear y bloquear el tráfico de la botnet Storm en el futuro, si las claves de seguridad tienen longitudes y firmas únicas. [44] El proveedor de seguridad informática Sophos ha estado de acuerdo con la evaluación de que la partición de la botnet Storm indica una probable reventa de sus servicios. Graham Cluley de Sophos dijo: "El uso de tráfico cifrado por parte de Storm es una característica interesante que ha llamado la atención en nuestro laboratorio. Su uso más probable es que los ciberdelincuentes arrendan partes de la red para su uso indebido. No sería una sorpresa si la red se utilizó para enviar spam, ataques distribuidos de denegación de servicio y otras actividades maliciosas ". [46] Los expertos en seguridad informaron que si Storm se divide para el mercado de malware, en forma de un "kit de spam de creación de botnet listo para usar", el mundo podría ver un fuerte aumento en el número de infecciones relacionadas con Storm y sistemas informáticos comprometidos. [47] El cifrado solo parece afectar a los sistemas comprometidos por Storm desde la segunda semana de octubre de 2007 en adelante, lo que significa que cualquiera de los sistemas informáticos comprometidos después de ese período de tiempo seguirá siendo difícil de rastrear y bloquear. [48]
A los pocos días del descubrimiento de esta segmentación de la botnet Storm, los principales proveedores de seguridad descubrieron el correo electrónico no deseado de la nueva subsección. En la noche del 17 de octubre, los proveedores de seguridad comenzaron a ver spam nuevo con archivos de sonido MP3 incrustados , que intentaron engañar a las víctimas para que invirtieran en acciones de un centavo , como parte de una estafa ilegal de acciones de bombeo y descarga . Se creía que esta era la primera estafa de correo electrónico no deseado que utilizaba audio para engañar a las víctimas. [49] Sin embargo, a diferencia de casi todos los demás correos electrónicos relacionados con Storm, estos nuevos mensajes de estafa de stock de audio no incluían ningún tipo de virus o carga útil de malware Storm; eran simplemente parte de la estafa de acciones. [50]
En enero de 2008, se detectó por primera vez que la botnet estaba involucrada en ataques de phishing contra los clientes de las principales instituciones financieras, dirigidos a establecimientos bancarios en Europa, incluidos Barclays , Halifax [43] y el Royal Bank of Scotland . [51] Las claves de seguridad únicas utilizadas indicaron a F-Secure que se estaban alquilando segmentos de la botnet. [51]
Reclamado declive de la botnet
El 25 de septiembre de 2007, se estimó que una actualización de Microsoft a la Herramienta de eliminación de software malintencionado de Windows (MSRT) podría haber ayudado a reducir el tamaño de la botnet hasta en un 20%. [52] El nuevo parche, como afirma Microsoft, eliminó Storm de aproximadamente 274 372 sistemas infectados de los 2,6 millones de sistemas Windows escaneados. [53] Sin embargo, según el personal de seguridad superior de Microsoft, "las más de 180.000 máquinas adicionales que han sido limpiadas por MSRT desde el primer día probablemente sean máquinas de usuarios domésticos que no se incorporaron notablemente al funcionamiento diario de la 'Storm'. botnet ", lo que indica que la limpieza de MSRT puede haber sido simbólica en el mejor de los casos. [54]
A finales de octubre de 2007, algunos informes indicaron que la botnet Storm estaba perdiendo el tamaño de su huella en Internet y se redujo significativamente. [55] Brandon Enright, analista de seguridad de la Universidad de California en San Diego , calculó que la botnet había caído a finales de octubre a un tamaño de aproximadamente 160.000 sistemas comprometidos, desde el máximo anterior estimado de Enright en julio de 2007 de 1.500.000 sistemas. [56] Sin embargo, Enright notó que la composición de la botnet cambiaba constantemente y que todavía se defendía activamente de los ataques y la observación. "Si eres un investigador y accedes demasiado a las páginas que alojan el malware ... hay un proceso automatizado que lanza automáticamente un [ataque] de denegación de servicio en tu contra", dijo, y agregó que su investigación provocó un ataque de botnet Storm. que dejó fuera de línea a parte de la red de UC San Diego. [57]
Se informa que la compañía de seguridad informática McAfee dijo que Storm Worm sería la base de futuros ataques. [58] Craig Schmugar, un destacado experto en seguridad que descubrió el gusano Mydoom , llamó a la botnet Storm un creador de tendencias, lo que ha llevado a un mayor uso de tácticas similares por parte de los delincuentes. [59] Una de estas botnet derivada ha sido apodada "Celebrity Spam Gang", debido a su uso de herramientas técnicas similares a las de los controladores de la botnet Storm. Sin embargo, a diferencia de la sofisticada ingeniería social que los operadores de Storm utilizan para atraer a las víctimas, los spammers de Celebrity utilizan ofertas de imágenes desnudas de celebridades como Angelina Jolie y Britney Spears . [60] Los expertos en seguridad de Cisco Systems declararon en un informe que creen que la botnet Storm seguirá siendo una amenaza crítica en 2008, y dijeron que estimaron que su tamaño se mantuvo en los "millones". [61]
A principios de 2008, la botnet Storm también encontró competencia comercial en su economía de sombrero negro, en la forma de Nugache, otra botnet similar que se identificó por primera vez en 2006. Los informes han indicado que puede estar en marcha una guerra de precios entre los operadores de ambas botnets. para la venta de su envío de correo electrónico no deseado. [62] Después de las vacaciones de Navidad y Año Nuevo, un puente entre 2007 y 2008 , los investigadores del Proyecto Honeynet alemán informaron que la botnet Storm puede haber aumentado de tamaño hasta en un 20% durante las vacaciones. [63] El informe de MessageLabs Intelligence de marzo de 2008 estima que más del 20% de todo el spam en Internet se origina en Storm. [64]
Estado actual de la botnet
La botnet Storm estuvo enviando spam durante más de dos años hasta su declive a fines de 2008. [65] Un factor en esto, debido a que a los creadores les resulta menos interesante mantener la botnet, puede haber sido Stormfucker [66]. herramienta, que hizo posible tomar el control de partes de la botnet. [67]
Stormbot 2
El 28 de abril de 2010, McAfee hizo un anuncio de que se verificaron los llamados "rumores" de un Stormbot 2. Mark Schloesser, Tillmann Werner y Felix Leder, los investigadores alemanes que trabajaron mucho en el análisis del Storm original, encontraron que alrededor de dos tercios de las funciones "nuevas" son una copia y pegado del último código base de Storm. Lo único que falta es la infraestructura P2P , quizás debido a la herramienta que usó P2P para derribar el Storm original. El blog de Honeynet apodó este Stormbot 2. [68]
Ver también
- Alureon
- Bagle (gusano informático)
- Botnet
- Conficker
- Spam de correo electrónico
- Gameover ZeuS
- Gusano útil
- Crimen de internet
- Seguridad de Internet
- McColo
- Operación: Bot Roast
- Botnet de Rustock
- Regin (malware)
- Botnet Srizbi
- Zombie (ciencias de la computación)
- Botnet ZeroAccess
- Zeus (malware)
Referencias
- ↑ a b Lisa Vaas (24 de octubre de 2007). "Storm Worm Botnet lobotomizando programas antivirus" . eWeek . Consultado el 4 de julio de 2015 .
- ^ a b c Spiess, Kevin (7 de septiembre de 2007). "Gusano 'Tormenta' cobra fuerza" . Neoseeker . Consultado el 10 de octubre de 2007 .
- ^ "La virulencia de Storm Worm puede cambiar de táctica" . Sociedad Británica de Computación. 2 de agosto de 2007. Archivado desde el original el 12 de octubre de 2007 . Consultado el 10 de octubre de 2007 .
- ^ Dvorsky, George (24 de septiembre de 2007). "Storm Botnet irrumpe en la red" . Instituto de Ética y Tecnologías Emergentes . Consultado el 10 de octubre de 2007 .
- ^ Keizer, Gregg (9 de abril de 2008). "Top botnets controlan 1M de computadoras secuestradas" . Computer World . Consultado el 24 de diciembre de 2012 .
- ^ Leyden, John (25 de septiembre de 2007). "Storm Worm toma represalias contra los investigadores de seguridad" . El registro . Consultado el 25 de octubre de 2007 .
- ^ a b Gaudin, Sharon (18 de septiembre de 2007). "Storm Worm Botnet ataca empresas anti-spam" . InformationWeek . Consultado el 10 de octubre de 2007 .
- ^ Fisher, Dennis (22 de octubre de 2007). "Los expertos predicen que el reinado de Storm Trojan continuará" . Seguridad de búsqueda . Consultado el 26 de diciembre de 2007 .
- ^ Coca, Rick (18 de diciembre de 2007). "FBI: 'Botnets' amenazan la seguridad en línea" . Dentro del Área de la Bahía . Consultado el 27 de diciembre de 2007 .
- ^ Brodkin, Jon (7 de septiembre de 2007). "El malware con motivación financiera prospera" . Consultado el 10 de octubre de 2007 .
- ^ Nulo, Christopher (22 de octubre de 2007). "Devastador" Tormenta "Gusano informático esperando en las alas" . Yahoo! Noticias . Consultado el 26 de diciembre de 2007 .
- ^ Utter, David (13 de julio de 2007). "Storm Botnet conducción de spam de PDF" . Consultado el 10 de octubre de 2007 .
- ^ Cringely, Robert X. (17 de octubre de 2007). "La tormenta que se avecina" . InfoWorld.
- ^ Holz, Thorsten (9 de abril de 2008). "Medidas y mitigación de botnets de igual a igual: un estudio de caso sobre el gusano de tormenta" . Usenix . Consultado el 23 de abril de 2008 .
- ^ Singel, Ryan (7 de diciembre de 2007). "Informe: la ciberdelincuencia irrumpió en la red en 2007" . Noticias por cable . Consultado el 27 de diciembre de 2007 .
- ^ Larkin, Erik (3 de diciembre de 2007). "El enemigo público número uno de Internet" . PC World . Consultado el 21 de marzo de 2010 .
- ^ a b c Gaudin, Sharon (6 de septiembre de 2007). "Storm Worm Botnet más potente que las mejores supercomputadoras" . Consultado el 10 de octubre de 2007 .
- ^ Gaudin, Sharon (4 de septiembre de 2007). "Después de un breve descanso, Storm Worm vuelve a disparar con nuevos trucos" . InformationWeek . Consultado el 10 de octubre de 2007 .
- ^ Fisher, Dennis (17 de diciembre de 2007). "Tormenta, Nugache lidera una nueva y peligrosa barrera de botnets" . Seguridad de búsqueda . Consultado el 27 de diciembre de 2007 .
- ^ Leyden, John (14 de septiembre de 2007). "Storm Worm vinculado a la oleada de spam" . El registro . Consultado el 17 de octubre de 2007 .
- ^ Schneier, Bruce (4 de octubre de 2007). "Recolección del super gusano 'Storm' representa una grave amenaza para las redes de PC" . Noticias por cable . Consultado el 17 de octubre de 2007 .
- ^ Gaudin, Sharon (3 de octubre de 2007). "Hackers rompiendo botnets para eludir la detección" . InformationWeek . Consultado el 17 de octubre de 2007 .
- ^ Sorensen, Chris (15 de octubre de 2007). "Storm Worm la 'sífilis' de las computadoras" . La estrella . Consultado el 17 de octubre de 2007 .
- ^ a b Utter, David (16 de octubre de 2007). "Storm Botnets que utilizan tráfico cifrado" . Noticias de Security Pro . Consultado el 17 de octubre de 2007 .
- ^ "Storm DDoS golpea sitios anti-estafa" . Virus Bulletin.com. 10 de septiembre de 2007 . Consultado el 17 de octubre de 2007 .
- ^ Gaudin, Sharon (10 de septiembre de 2007). "Fin de semana de lanzamiento de la NFL trae otro ataque de gusano de tormenta" . InformationWeek . Consultado el 17 de octubre de 2007 .
- ^ Hernandez, Pedro (4 de octubre de 2007). "Storm Worm reescribió el juego de botnet y spam" . Planeta de TI empresarial . Consultado el 17 de octubre de 2007 .
- ^ Stewart, Joe. "Ataque DDoS de gusano de tormenta" . Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
- ^ McCloskey, Paul (14 de septiembre de 2007). "Advertencia de tormenta: Botnet preparándose para atacar a los defensores" . InformationWeek . Consultado el 17 de octubre de 2007 .
- ^ Gaudin, Sharon (17 de septiembre de 2007). "Storm botnet pone defensas y comienza a atacar" . InformationWeek . Consultado el 17 de octubre de 2007 .
- ^ "Storm Worm ofrece carbón para Navidad" . Enfoque de seguridad. 2007-12-26 . Consultado el 27 de diciembre de 2007 .
- ^ a b Wilson, Tim (29 de octubre de 2007). "Los investigadores temen represalias de la tormenta" . Lectura oscura . Consultado el 28 de diciembre de 2007 .
- ^ Paul, Ryan (12 de septiembre de 2007). "Los spammers lanzan ataques de denegación de servicio contra sitios antispam" . Noticias de Ars Technica . Consultado el 17 de octubre de 2007 .
- ^ Sophos Labs (22 de octubre de 2007). "Parcheo de procesos, a la manera de Dorf" . Seguridad desnuda . Consultado el 4 de julio de 2015 .
- ^ Farrell, Nick (17 de septiembre de 2007). "Los republicanos infectan a los votantes con Storm Trojan" . "El Inquirer". Archivado desde el original el 21 de enero de 2016 . Consultado el 17 de octubre de 2007 .CS1 maint: URL no apta ( enlace )
- ^ Keizer, Gregg (14 de septiembre de 2007). "El sitio pirateado de GOP infecta a los visitantes con malware" . Computerworld . Consultado el 17 de octubre de 2007 .
- ^ Tung, Liam (10 de octubre de 2007). " ' Storm worm' explota YouTube" . Noticias CNET . Consultado el 17 de octubre de 2007 .
- ^ Keizer, Gregg (12 de octubre de 2007). "Storm Trojan hace alarde de gato loco para construir botnet" . Mundo de la informática. Archivado desde el original el 13 de octubre de 2007 . Consultado el 17 de octubre de 2007 .
- ^ a b Keizer, Gregg (16 de noviembre de 2007). "Storm Botnet difundiendo malware a través de GeoCities" . PC World . Consultado el 27 de diciembre de 2007 .
- ^ McMillan, Robert (24 de diciembre de 2007). "Tormenta gusano tienta con espectáculo de tira de Navidad" . PC World . Consultado el 27 de diciembre de 2007 .
- ^ Hruska, Joel (25 de diciembre de 2007). "Storm Worm entregando carbón esta Navidad" . Ars Technica . Consultado el 27 de diciembre de 2007 .
- ^ Keizer, Gregg (26 de diciembre de 2007). "Storm Botnet Drops Strippers Lure, cambia a Año Nuevo" . PC World . Consultado el 27 de diciembre de 2007 .
- ^ a b Rogers, Jack (8 de enero de 2008). "Fortinet: botnet Storm Worm utilizado para montar ataques de phishing en Barclays, bancos de Halifax" . Revista SC. Archivado desde el original el 11 de enero de 2008 . Consultado el 9 de enero de 2008 .
- ^ a b Stewart, Joe (15 de octubre de 2007). "La tormenta cambiante" . Trabajos seguros . Consultado el 17 de octubre de 2007 .
- ^ Francia, Ruben (16 de octubre de 2007). "Investigador: botnet Storm Worm a la venta" . Tech.Blorge. Archivado desde el original el 16 de octubre de 2007 . Consultado el 17 de octubre de 2007 .
- ^ Espiner, Tom (16 de octubre de 2007). "Experto en seguridad: los 'servicios' de la botnet Storm podrían venderse" . Noticias de CNet . Consultado el 17 de octubre de 2007 .
- ^ Vaas, Lisa (16 de octubre de 2007). "Kits de botnet de tormenta se ciernen sobre el horizonte" . EWeek . Consultado el 17 de octubre de 2007 .
- ^ Goodin, Dan (15 de octubre de 2007). "La balcanización de las redes de bots Storm Worm" . El registro . Consultado el 17 de octubre de 2007 .
- ^ Keizer, Gregg (18 de octubre de 2007). "Los spammers aumentan el volumen con una gran estafa hablada" . Mundo de la informática. Archivado desde el original el 2 de marzo de 2007 . Consultado el 19 de octubre de 2007 .
- ^ Prince, Brian (18 de octubre de 2007). "Bandejas de entrada de éxitos de estafa de spam MP3" . EWeek . Consultado el 19 de octubre de 2007 .
- ^ a b Vamosi, Robert (9 de enero de 2008). "Los phishers ahora alquilan la botnet del gusano Storm" . Noticias CNET . Consultado el 11 de mayo de 2008 .
- ^ Beskerming, Sûnnet (25 de septiembre de 2007). "Adivinando el número de host comprometido" . El registro . Consultado el 17 de octubre de 2007 .
- ^ Naraine, Ryan (24 de septiembre de 2007). "Números de botnet Storm Worm, a través de Microsoft" . ZDNet . Consultado el 17 de octubre de 2007 .
- ^ Krebs, Brian (1 de octubre de 2007). "¿Qué tan malo es el gusano de tormenta?" . The Washington Post . Consultado el 17 de octubre de 2007 .
- ^ Chapman, Matt (22 de octubre de 2007). "Storm Worm puede haberse extinguido" . VNUnet. Archivado desde el original el 25 de diciembre de 2007 . Consultado el 26 de diciembre de 2007 .
- ^ Francia, Ruben (21 de octubre de 2007). "La red de Storm Worm se reduce a aproximadamente una décima parte de su tamaño anterior" . Tech.Blorge. Archivado desde el original el 26 de agosto de 2013 . Consultado el 26 de diciembre de 2007 .
- ^ McMillan, Robert (21 de octubre de 2007). "Storm Worm ahora es sólo una tormenta" . PC World . Consultado el 26 de diciembre de 2007 .
- ^ Vassou, Andrea-Marie (29 de noviembre de 2007). "La guerra cibernética se intensificará en 2008" . Computadora activa. Archivado desde el original el 2 de enero de 2008 . Consultado el 27 de diciembre de 2007 .
- ^ Messmer, Ellen (11 de diciembre de 2007). "Atacantes a punto de explotar los Juegos Olímpicos, las elecciones presidenciales de 2008" . Mundo de la red. Archivado desde el original el 27 de diciembre de 2007 . Consultado el 27 de diciembre de 2007 .
- ^ "Nueva botnet tan poderosa como Storm worm" . Computación segura. 2007-11-29 . Consultado el 27 de diciembre de 2007 .[ enlace muerto permanente ]
- ^ Rogers, Jack (26 de diciembre de 2007). "Cisco informa que la botnet Storm podría subarrendar a los delincuentes en 2008 a medida que proliferan los ataques con temas de vacaciones" . Revista SC. Archivado desde el original el 28 de diciembre de 2007 . Consultado el 27 de diciembre de 2007 .
- ^ Dunn, John E. (7 de enero de 2008). "Nugache - ¿la próxima Tormenta?" . Mundo tecnológico. Archivado desde el original el 8 de enero de 2008 . Consultado el 7 de enero de 2008 .
- ^ Utter, David (4 de enero de 2008). "Storm Botnet triplica en tamaño" . Noticias de Security Pro . Consultado el 7 de enero de 2008 .
- ^ "Una quinta parte de todo el spam proviene de la botnet Storm" (PDF) . MessageLabs Intelligence: Q1 / marzo de 2009 . MessageLabs. 2008-04-01. Archivado desde el original (PDF) el 17 de mayo de 2008.
- ^ Felix Leder (28 de abril de 2010). "Una brisa de tormenta" . Blog del proyecto Honeynet . Consultado el 24 de mayo de 2010 .
- ^ Divulgación completa: Stormfucker
- ^ Georg 'oxff' Wicherski, Tillmann Werner, Felix Leder, Mark Schlösser (2008). Stormfucker: Poseer la Storm Botnet (charla de la conferencia). Chaos Computer Club eV Archivado desde el original el 6 de octubre de 2009 . Consultado el 24 de mayo de 2010 .
- ^ Dirro, Toralv (28 de abril de 2010). "Dark and Stormy - ¿Regreso de una botnet?" . Blog de investigación de McAfee . Consultado el 1 de mayo de 2010 .
enlaces externos
- Un video publicado por Secure Labs, que muestra la propagación de la botnet en YouTube.
- "El gusano Storm: ¿puede estar seguro de que su máquina no está infectada?" La página de destino ya no se encuentra en este sitio web.
- "TrustedSource Storm Tracker": principales dominios de Storm y proxies web más recientes La página de destino ya no se encuentra en este sitio web.