Троян stumbler чьи-то изыскания или подготовка к очередному удару?
Вирусные эпидемии — одна из основных «заболеваний» современного Интернета. В то время, когда месяц назад в Сети начался рост аномального трафика, эксперты по безопасности сперва занервничали — тем более, что его обстоятельство установить никак не получалось.
Позже, действительно, стало известно, что трафик — не вредоносный. По крайней мере, пока.
Обстановка выглядит примерно следующим образом.
Около месяца назад системные администраторы в различных государствах начали отмечать рост необычного трафика: что-то рассылало во все финиши некие пакеты данных с окном TCP/IP 55808 байт (что уже само по себе смотрелось необычно), каковые сканировали Сеть.
Размер «окна» TCP/IP — это размер пакета данных, что сервер-отправитель может переслать адресату без получения извещения о приёме. Этот параметр устанавливается ОС.
Ни одна из существующих операционных совокупностей не будет затевать отправку серии данных со столь большого пакета.
В последних числах Мая некоторый Джо Стюарт (Joe Stewart), эксперт по взломам компьютерных совокупностей, сотрудник компании LURHQ, занимающейся вопросами сетевой безопасности, понял, что кто-то — либо что-то пробует подсоединиться к несуществующему компьютеру в локальной сети его компании (это указывает, что ломились «наугад», по IP-адресу, в котором был неправильно либо произвольно указан номер узла).
Но значительно занимательнее было второе событие. В качестве обратного стоял адрес, относившийся к блоку, зарезервированному Администрацией по выдаче Интернет-номеров и адресов (Internet Assigned Numbers Authority — IANA).
Иными словами, настоящим данный адрес быть не имел возможности, и фактически ни один провайдер не пропустил бы в данный блок никаких данных.
Было произведено более 900 попыток установить соединение, так что Стюарт не смог узнать, откуда в действительности поступали эти.
Стюарт в полной мере уверен, это было попыткой собрать информацию об адресном пространстве.
Аналогичных случаев было отмечено большое количество. Сначала многие кроме того предполагали, что виновником роста трафика стал червяк, отловленный компанией Network Associates, — W32/Randex.c.
Штаб-квартира компании LUHRQ.
Но, как видно из этого заглавия, Randex есть Windows-червём. В противном случае, что поймали компании Internet Security Systems и Intrusec, передаёт лишь UNIX/Linux-серверы (не смотря на то, что Intrusec допускают, что начальный вариант трояна могли быть созданы именно для Windows), и функции червя у трояна, изначально поименованного 55808 (а позже — Stumbler), попросту отсутствуют.
Как информирует в собственном пресс-релизе Intrusec, троян 55808, предположительно есть средством сканирования сетей, выискивающим открытые порты. Потому, что обратный адрес пакета-разведчика постоянно фальсифицируется, то установленный в раздельно забранную совокупность раздельно забранная вредоносная программа не имеет возможности самостоятельно приобретать данные о сети, которую сканирует.
Но она может вылавливать пакеты данных, посланные вторыми такими же программами.
Это указывает, что любая копия 55808 есть собственного рода «клиентом» целой сканирующей сети.
В то время, когда одна из инсталляций трояна приобретает извещение об открытых портах от вторых инсталляций, эти сведенья записываются в файл, что каждый день отправляется на определённый IP-адрес. По всей видимости, создателю трояна.
Помимо этого, теоретически этот троян может отправлять в сканируемую подсеть особый пакет, в котором содержится номер IP-адреса, по которому отправляется перечень открытых портов.
Но, как узнали специалисты, в пойманной ими версии эта функция отключена. Больше того, в случае если трояну не удаётся соединиться с указанным выше IP-адресом, он пробует самоликвидироваться.
Подсказка для администраторов Linux: троян размещается по адресу /tmp/…/a (файл именуется «a»), В том же направлении записывается файл со перечнем открытых портов (он именуется «r»).
Как уже сообщено, у этого трояна нет функций автоматического распространения. Следовательно, на заражённые серверы он был подсажен «вручную», целенаправленно, через какие-то эксплойты.
Что же касается IP-адреса, куда он пробует послать собранную информацию, — то по умолчанию установлен адрес 12.108.65.76:22, но для того чтобы не существует в природе. Теоретически посредством особого пакета данных, посланного трояну, данный адрес возможно поменять.
Действительно, лишь теоретически, по причине того, что в той копии, которую отловили Intrusec, эта функция также была отключена.
Резюме экспертов из Intrusec: 55808/Stumbler — это опытный образец. Кто-то пробует создать то, что именуется «трояном третьего поколения».
специалисты и Антивирусные компании по безопасности много говорили по поводу вероятного появления таких троянов, а кто-то сидел и слушал. В Intrusec утверждают, что создатель вируса почерпнул все собственные идеи из пресс-релизов, почтовых рассылок и статей, в которых расписывалось теоретическое поведение таких программ.
И по сей день идут предварительные опробования трояна, практически придуманного антивирусниками. Создатель вируса руководствам…
Привилегию делать соответствующие выводы мы оставляем отечественным читателям.
До тех пор пока у этого «зверя» нет деструктивного потенциала, функций для организации DoS-атак, либо каких-нибудь иных вредоносных линия, он довольно надёжен.
Но сам факт целенаправленного распространения трояна-невидимки, чьё присутствие в совокупности весьма тяжело найти, экспертов весьма настораживает. Теоретически данный троян может оказать помощь в создании подробной карты Интернета в целом и отдельных уязвимых сетей, например, посему его и поторопились назвать «хакерским инструментом».
Никакой уверенности в том, что это как раз подготовка к какому-то очередному интернет-злодеянию, наподобие массивной DoS-атаки против каких-либо серверов, эксперты пока не испытывают.
