Created: 2007-11-12 15:57:48
Nuwar,也被稱作Storm Worm,在今年的反病毒業中,是一種很流行的威脅。因為它的高水準,以及作者花費大量精力維護的這個強大的僵屍網路,使得這種威脅引起了廣泛關注。操作Nuwar botnet的botherder,使用基於電驢點對點網路協定的分散式網路,來控制被感染的PC。很少有惡意軟件使用這樣的網路結構,因為它比我們熟悉的常用的IRC協議,或者近來的超文本傳輸協定(HTTP)複雜得多。使用點對點的方式增加了網路的可靠性,因為沒有可以切斷的中心點,也就是說,不會有單點故障(SPoF)。儘管如此,這種可靠性也是有成本的:它會顯著消耗網路帶寬。
下面的這張圖展示了被Nuwar感染後的電腦發送(藍色區域)和接收(紅色區域)通訊包的情況。X軸表示被感染後的分鐘數,Y軸表示發出資料包的數量。從圖中我們可以看到,感染後的最初20分鐘被用來與其他被感染的系統進行連接,並加入到這個分散式網路中。嘗試連接的過程產生了很大的流量。一 旦被感染的節點加入網路,它就只做小時性的網路維護:嘗試找出新加入的節點,刪除已失去連接的節點。這種受控制的資料包,在圖中分別對應在80分鐘和140 分鐘出現的峰值。
一個節點加入Nuwar網路時出現的顯著柱狀流量,以及以後每個小時出現的用於控制的流量,都是有警惕性的網路管理員值得關注的物件。看起來,這個 惡意軟件的作者,更多的考慮了可靠性,而非秘密性。(電腦)安全業需要關注攻擊者的入侵。這些付出能找出設計中的薄弱環節,幫助我們保護自己的基礎設 施。
觀察員
Pierre-Marc Bureau
辭彙
Nuwar:一種蠕蟲
Botnet:僵屍網路
botherder:傀儡牧人
SPoF:single point of failure,單點故障