Nieuws
image

Schneier: "Storm worm is door niemand te stoppen"

maandag 15 oktober 2007, 10:23 door Redactie, 12 reacties

Sinds januari van dit jaar wordt het internet geteisterd door de Storm worm, die volgens verschillende schattingen tussen de 1 en 50 miljoen computers heeft geïnfecteerd. Beveiligingsgoeroe Bruce Schneier vergelijkt het Trojaanse paard met syfilis, waarvan de symptomen eerst nauwelijks zichtbaar zijn, maar wanneer onbehandeld, zeer ernstige gevolgen kan hebben. Storm worm is dan ook de toekomst van malware.

Het is geduldig, en daardoor moeilijk te detecteren en analyseren. Het werkt als een mierenkolonie, waardoor er geen centrale command en control server is, maar een P2P opzet. Hierdoor hebben gedesinfecteerde machines geen gevolgen voor het botnet. Storm worm veroorzaakt verder geen schade of belasting van de host, zodat gebruikers niet weten dat ze geïnfecteerd zijn. De code van de Storm worm past zichzelf elke 30 minuten aan, en de controle servers verstoppen zich achter een DNS techniek genaamd ""fast flux."

Al met al ziet Schneier geen oplossing voor het stoppen van de worm. "Het opnieuw ontwerpen van Windows zou werken, maar is te gek voor woorden. Een anti-worm ontwikkelen is een spannend verhaal, maar gaat in het echt niet werken. We weten gewoon niet hoe we de Storm worm moeten stoppen, behalve dan de verantwoordelijke mensen arresteren", zegt Schneier in zijn maandelijkse nieuwsbrief.

Reacties (12)
15-10-2007, 11:43 door spatieman
helaas waar :(
15-10-2007, 12:11 door Gebruiker693964
FIPO!!!!!!!

Ahhh... balen man. De spatieman was me voor
:o)

Nou nog even ontopic dan:
Stukje tekst over de fast flux technology...
http://www.kvaes.be/high-availability/understanding-the-basics-concept-of-fast-flux-dns/
15-10-2007, 12:46 door Anoniem
"De code van de Storm worm past zichzelf elke 30 minuten aan"

Dacht het niet hoor.
15-10-2007, 12:50 door jeed
Wordt het gedetecteerd door virusscanners of heb je er wat
anders voor nodig?
15-10-2007, 13:34 door Anoniem
De code van Storm blijft hetzelfde, maar de wijze waarop deze code
gecomprimeerd wordt is polymorf.
15-10-2007, 14:23 door Anoniem
Fast Flux domein voorbeeld:

dig puface.com a

Kenmerkend zijn de almaar wisselende ip-adressen.
15-10-2007, 15:04 door Preddie
zit er geen bepaald ritme achter de aanpassingen van de worm
? daar zal toch ook een bepaalde algoritme in te vinden zijn?
15-10-2007, 17:15 door Anoniem
Ook als de makers gearresteerd worden is het natuurlijk maar de vraag
wat die ertegen kunnen doen. Die worm is ondertussen wel gereverse-
engineered, wat kan hen kennis nog toevoegen aan de bestrijding?
15-10-2007, 20:29 door Anoniem
Door Anoniem
Ook als de makers gearresteerd worden is het natuurlijk maar de vraag
wat die ertegen kunnen doen. Die worm is ondertussen wel gereverse-
engineered, wat kan hen kennis nog toevoegen aan de bestrijding?

Het is geen zichzelf verspreidende worm.

Je hoeft niets te reverse engineren om het detecteren.

Het gaat niet over iets unieks, al wil Schneier het graag zo voorspiegelen.
15-10-2007, 21:16 door Anoniem
Ik kan er dus vanuitgaan dat alle IP adressen die ik voor
een 'evil' domein tegenkom afkomstig zijn van een zombie pc.
Mooi, word het een simpele kwestie van IP identificatie en
een grootschalige blokkade van die IP's.

Klant gaat klagen, word geinformeerd en word verplicht de
pc(s) eerst professioneel te laten verschonen eer zij weer
toegang krijgen tot het internet.....
Aankoopbewijs van een top3 AV softwareleverancier i.c.m. een
recent scanlog kan de blokkade doen opheffen.... (erg kort
door de bocht, maar toch)

Wanneer al die zombie pc's zijn afgesloten kom je
uiteidelijk uit bij de bron van het 'kwaad'.....

Eenvoudiger kan haast niet.
15-10-2007, 21:35 door [Account Verwijderd]
[Verwijderd]
17-10-2007, 05:46 door ctrlaltdelete
http://www.symantec.com/enterprise/security_response/weblog/2007/10/strengthening_storm_almost_hur.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search