Egy féregvírus „lelke”

A múlt héten került sor arra a bemutatóra, melyet Joe Stewart, az IT-biztonsággal foglalkozó Secureworks igazgatója prezentált az éves rendszerességgel megtartott Black Hat konferencián. A szakértő a Storm férget boncolgatta, mint jelenséget a mai modern digitális kártevők világában. Elmondása szerint annak ellenére, hogy nem rendelkezik különlegesen kifinomult felépítéssel, mégis fenn tudott maradni a féreg – pedig már évek óta létezik.

Stewart részletesen vizsgálta a Storm titkosítási eljárását, melyet a vezérlő és irányító szerverrel való kommunikációra használ. A szakértő arra jött rá, hogy a trójai program rendszerfertőző moduljának kódolása átlagosan 10 percenként változik, és miután egyszer telepítésre került, a kommunikációra szolgáló IP-címeket gyakran és gyorsan cserélgeti. Míg az előbbi a szignatúra-alapú antivírus rendszerek számára teszi kvázi lehetetlenné kiirtását, az utóbbi funkciója révén egy fertőzött számítógép fertőzöttségének teljes időtartalma alatt távvezérelhető.

Peer to peer (P2P), vagyis elosztott rendszerű kommunikációt alkalmaz a digitális kártevő az áldozatul esett PC és a node-ok illetve a szupernode-ok között. A kutatók felfedezték, hogy – elkerülendő a file-cserélésbe való „belefolyást” – a Storm alkotója titkosítani kezdte a P2P parancsokat. 64 bites RSA titkosításra alapul ez a folyamat, ecsetelte Stewart a konferencián ismereteit, egyben rámutatva arra, hogy egyre nehezebb lesz kiiktatni az ilyen fertőzéseket egy-egy számítógépről, hiszen még tevékenységük felfedezése is problémás.