Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

Вирусные эпидемии — одна из главных "болезней" современного Интернета. Когда месяц назад в Сети начался рост аномального трафика, специалисты по безопасности сначала занервничали — тем более, что его причину установить никак не удавалось. Потом, правда, выяснилось, что трафик — не вредоносный. По крайней мере, пока.

Ситуация выглядит приблизительно следующим образом.

Около месяца назад системные администраторы в разных странах начали отмечать рост странного трафика: что-то рассылало во все концы некие пакеты данных с окном TCP/IP 55808 байт (что уже само по себе выглядело странно), которые сканировали Сеть.

Размер "окна" TCP/IP — это размер пакета данных, который сервер-отправитель может переслать адресату без получения извещения о приёме. Данный параметр устанавливается операционной системой.

Ни одна из существующих операционных систем не будет начинать отправку серии данных со столь крупного пакета.

В конце мая некий Джо Стюарт (Joe Stewart), специалист по взломам компьютерных систем, сотрудник компании LURHQ, занимающейся вопросами сетевой безопасности, обнаружил, что кто-то — или что-то пытается подсоединиться к несуществующему компьютеру в локальной сети его компании (это означает, что ломились "наугад", по IP-адресу, в котором был неправильно или произвольно указан номер узла).

Но гораздо интереснее было другое обстоятельство. В качестве обратного стоял адрес, относившийся к блоку, зарезервированному Администрацией по выдаче Интернет-адресов и номеров (Internet Assigned Numbers Authority — IANA). Иными словами, настоящим этот адрес быть не мог, и практически ни один провайдер не пропустил бы в этот блок никаких данных.

Было произведено более 900 попыток установить соединение, так что Стюарт не смог выяснить, откуда на самом деле поступали данные.

Стюарт вполне уверен, это было попыткой собрать данные об адресном пространстве.

Подобных случаев было отмечено много. Вначале многие даже предполагали, что виновником роста трафика стал червяк, отловленный компанией Network Associates, — W32/Randex.c.

Штаб-квартира компании LUHRQ.

Но, как видно из этого названия, Randex является Windows-червём. А то, что поймали компании Internet Security Systems и Intrusec, заражает только UNIX/Linux-серверы (хотя Intrusec допускают, что первоначальный вариант трояна могли быть созданы как раз для Windows), и функции червя у трояна, изначально поименованного 55808 (а потом — Stumbler), попросту отсутствуют.

Как сообщает в своём пресс-релизе Intrusec, троян 55808, предположительно является средством сканирования сетей, выискивающим открытые порты. Поскольку обратный адрес пакета-разведчика всегда фальсифицируется, то установленный в отдельно взятую систему отдельно взятая троянская программа не может самостоятельно получать информацию о сети, которую сканирует. Зато она может вылавливать пакеты данных, отправленные другими такими же программами.

Это означает, что каждая копия 55808 является своего рода "клиентом" целой сканирующей сети.

Когда одна из инсталляций трояна получает извещение об открытых портах от других инсталляций, эти данные записываются в файл, который ежедневно отправляется на определённый IP-адрес. Видимо, создателю трояна.

Кроме того, теоретически данный троян может отправлять в сканируемую подсеть специальный пакет, в котором содержится номер IP-адреса, по которому отправляется список открытых портов.

Впрочем, как выяснили эксперты, в пойманной ими версии данная функция отключена. Больше того, если трояну не удаётся соединиться с вышеуказанным IP-адресом, он пытается самоликвидироваться.

Подсказка для администраторов Linux: троян размещается по адресу /tmp/.../a (файл называется "a"), туда же записывается файл со списком открытых портов (он называется "r").

Как уже сказано, у этого трояна нет функций автоматического распространения. Следовательно, на заражённые серверы он был подсажен "вручную", целенаправленно, через какие-то эксплойты.

Что же касается IP-адреса, куда он пытается отправить собранные данные, — то по умолчанию установлен адрес 12.108.65.76:22, но такого не существует в природе. Теоретически с помощью специального пакета данных, отправленного трояну, этот адрес можно изменить. Правда, только теоретически, потому что в той копии, которую отловили Intrusec, эта функция тоже была отключена.

Резюме специалистов из Intrusec: 55808/Stumbler — это опытный образец. Кто-то пытается создать то, что называется "трояном третьего поколения".

Антивирусные компании и специалисты по безопасности много говорили по поводу возможного появления таких троянов, а кто-то сидел и слушал. В Intrusec утверждают, что автор вируса почерпнул все свои идеи из пресс-релизов, статей и почтовых рассылок, в которых расписывалось теоретическое поведение таких программ.

И сейчас идут предварительные испытания трояна, фактически придуманного антивирусниками. Автор вируса просто следовал инструкциям...

Привилегию делать соответствующие выводы мы оставляем нашим читателям.

Пока у этого "зверя" нет деструктивного потенциала, функций для организации DoS-атак, или каких-нибудь иных вредоносных черт, он относительно безопасен.

Однако сам факт целенаправленного распространения трояна-невидимки, чьё присутствие в системе очень трудно обнаружить, специалистов очень настораживает. Теоретически этот троян может помочь в создании подробной карты Интернета в целом и отдельных уязвимых сетей, в частности, посему его и поторопились назвать "хакерским инструментом".

Никакой уверенности в том, что это именно подготовка к какому-то очередному интернет-злодеянию, вроде массивной DoS-атаки против каких-либо серверов, специалисты пока не испытывают.

Статья получена: Membrana.ru