Ботнет Storm вскрыт

   Группа исследователей из университета Бонна (Bonn University), Германия, и Рейнско-Вестфальского Технического университета Аахена (RWTH Aachen), Германия, нашли способ противодействия самому коварному существующему ботнету. Сеть зомби-компьютеров под названием Storm, появившаяся два года назад, насчитывала миллионы машин. Даже сейчас, после невероятных усилий по очищению сети, в эту сеть входит сотни тысяч систем, с помощью которых так удобно рассылать спам-письма и устраивать DoS-атаки. Компьютеры, входящие в систему, подчиняются командам сервера и используют технологию peer-to-peer для поиска новых серверов. Жизнеспособность этой системы поразительна: её до сих пор не могут ликвидировать.

   Имеющиеся знания о методах, используемых ботнетом Storm, в основном получены из наблюдений поведения заражённых систем. Немецкие исследователи применили другой метод: они тщательно проанализировали значительную часть машинного кода программы зомби-компьютера, обращая особенно пристальное внимание на функции коммуникации между компьютерами и сервером. Используя полученную информацию, исследователи написали собственную клиентскую программу, которая объединила peer-to-peer структуру подсети Storm таким образом, что запросы от других зомби-компьютеров, находящихся в поиске сервера, перенаправлялись к ней. Это позволило подсоединить зомби-компьютеры к другому серверу. Следующий шаг заключался в анализе протокола, отвечающего за передачу команд. Исследователи с удивлением обнаружили, что сервер никак не идентифицирует себя при отправке команд зомби-компьютерам, поэтому исследователям легко удалось перенаправить зомби на обычный сервер. Теперь исследователи работают над кодом, который смог бы загрузить с сервера на зомби-компьютер конкретную программу, блокирующую червь или даже очищающую от него компьютер.