Het Storm worm botnet bevindt zich niet in een diepe coma, maar is juist springlevend, zo waarschuwen onderzoekers. Vorige week verscheen het nieuws dat de bende achter Storm mogelijk met vakantie was en dat de sluiting van boeven ISP Atrivo de genadeklap betekende. Niets is minder waar, zegt botnetbestrijder FireEye. Storm zou springlevend zijn en uit minimaal 200.000 bots bestaan. De onderzoekers ontdekten dat de laatste Storm malware zowel via platte tekst als encryptie communiceerde. Door alle communicatie tussen de bots te analyseren, werden 120.610 actieve Storm hosts ontdekt die encryptie gebruikten en 44.844 die onversleuteld communiceerden. Voor bedrijven en thuisgebruikers die willen weten of ze besmet zijn, maakte FireEye deze twee overzichten.

De onversleutelde communicatie vond onder andere plaats met een berucht IP-adres, 208.72.169.23, dat de buurman van een van de Srizbi botnet Command & Control servers is. Die machine is via 208.72.169.22 bereikbaar, wat volgens de onderzoekers een verband tussen Storm en Srizbi aantoont. Een ander opmerkelijk punt werd in de "User-Agent" header gevonden. Die bestaat uit User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windoss NT 5.1; SV1921), waarbij de Storm worm auteur een typo maakte en Windoss typte, met als gevolg dat er inmiddels een Bleeding Snort rule is die het foutje herkent.

Springlevend
Gisteren keken de onderzoekers weer naar de communicatie tussen de Storm Command & Control servers en de bots en daar is niets veranderd. De CnC-server werkt gewoon, het verspreidt alleen geen spam-templates en verstuurt daardoor geen spam. Wat spammen betreft is Storm op het moment dood, maar vanuit een botnet oogpunt gezien werkt het zombienetwerk nog op volle toeren. Het is daarom nog veel te vroeg om te zeggen dat Storm het loodje heeft gelegd. "Na slechts twee dagen monitoren kunnen we ervan uitgaan dat Storm op dat moment uit 200.000 hosts bestond."