Nieuws
image

Virusschrijver doet botnet Storm worm in de aanbieding

dinsdag 16 oktober 2007, 09:47 door Redactie, 2 reacties

De beheerders van het Storm worm botnet hebben het zombie netwerk opgebroken, zodat spammers en denial of service aanvallers er gebruik van kunnen maken. Volgens SecureWorks onderzoeker Joe Stewart wordt de rekenkracht van het botnet op de zwarte markt aangeboden. De nieuwste variant van het Trojaanse paard gebruikt een 40-byte sleutel om het Overnet/eDonkey peer-to-peer verkeer te versleutelen.

"Dit betekent dat elke node alleen kan communiceren met nodes die dezelfde sleutel hebben. Dit laat de bedenker van de Storm worm zijn netwerk in kleinere delen opdelen. Dit is een teken dat de Storm worm aan spammers wordt verkocht, als een end-to-end spam botnet systeem, inclusief fast-flux DNS en hosting eigenschappen", aldus Stewart.

Doordat de malware encryptie gebruikt is het verkeer nu wel van legitiem Overnet/eDonkey P2P-verkeer te onderscheiden. "Dit maakt het makkelijker voor netwerkbeheerders om Storm nodes op netwerken te detecteren waar firewalls normaal P2P-verkeer toestaan."

Reacties (2)
16-10-2007, 14:57 door Anoniem
Doordat de malware encryptie gebruikt is het verkeer
nu wel van legitiem Overnet/eDonkey P2P-verkeer te
onderscheiden. "Dit maakt het makkelijker voor
netwerkbeheerders om Storm nodes op netwerken te detecteren
waar firewalls normaal P2P-verkeer toestaan
Nou, nee dus. netwerkbeheerders zullen meer geencrypt
verkeer zien, maar daaraan kunnen ze niet zien of het te
maken heeft met/afkomstig is van een botnet... Tenzij ze
altijd over dezelfde poorten communiceren? (Zou me verbazen:
als ze al zo slim zijn het verkeer te encrypten, zelf
fast-flux DNS en hosting eigenschappen in te bouwen, lijkt
het mij dat ze bepaald verkeer ook vrij makkelijk kunnen
sturen over wisselende poorten...)
16-10-2007, 15:11 door spatieman
iest me te duur..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search