Het lijkt erop dat de beruchte Storm worm weer terug is, hoewel het onduidelijk is of het om de originele bende gaat of dat ze de broncode hebben verkocht. Virusbestrijder CA ontdekte laatst een exemplaar van een nieuwe variant, die samen met een nep-virusscanner via een Trojan downloader werd verspreid. De geinfecteerde computers worden vervolgens gebruikt voor het versturen allerlei soorten spam. Variërend van online nepmedicijnen, viagra, adult dating en celebrity schandalen.
CA gaat er verder niet op in of het hier om de echte Storm worm gaat, dat deed het Honeynet Project wel. Het geanalyseerde exemplaar blijkt hetzelfde configuratiebestand als de laatste Storm worm versie te gebruiken, maar het Command & Control kanaal is vervangen door een op HTTP-gebaseerde versie. Het P2P-kanaal is nu geschrapt. Ook de werking van de malware is hetzelfde. "Hoewel dit bewijs is dat de twee exemplaren gerelateerd zijn, blijft de vraag of dit echt een nieuwe Storm versie is", aldus onderzoeker Felix Leder. Uit de analyse blijkt verder dat tweederde van de functies in de nieuwe versie identiek aan de oude versie zijn.
Broncode
De broncode van de oude versie is nooit openbaar geworden. Dat betekent dat de ontwikkelaars na afwezigheid van twee jaar een nieuwe versie hebben ontwikkeld of dat ze de broncode hebben verkocht. De oude versie was mede door de P2P code, vrij groot. Dat gedeelte ontbreekt nu volledig, alle communicatie verloopt via HTTP. Een mogelijke reden voor het ontbreken van P2P is vanwege de aanval door Stormfucker, een programma dat de onderzoekers destijds maakten om de communicatie van het Storm botnet te ontregelen. Storm werd twee jaar geleden dood verklaard.
Deze posting is gelocked. Reageren is niet meer mogelijk.