Каталог статей
Поиск по базе статей  
Статья на тему Интернет » Интересное в сети » Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

 

Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

 

 

Вирусные эпидемии — одна из главных "болезней" современного Интернета. Когда месяц назад в Сети начался рост аномального трафика, специалисты по безопасности сначала занервничали — тем более, что его причину установить никак не удавалось. Потом, правда, выяснилось, что трафик — не вредоносный. По крайней мере, пока.

Ситуация выглядит приблизительно следующим образом.

загрузка...

 

 

Около месяца назад системные администраторы в разных странах начали отмечать рост странного трафика: что-то рассылало во все концы некие пакеты данных с окном TCP/IP 55808 байт (что уже само по себе выглядело странно), которые сканировали Сеть.

Размер "окна" TCP/IP — это размер пакета данных, который сервер-отправитель может переслать адресату без получения извещения о приёме. Данный параметр устанавливается операционной системой.

Ни одна из существующих операционных систем не будет начинать отправку серии данных со столь крупного пакета.

В конце мая некий Джо Стюарт (Joe Stewart), специалист по взломам компьютерных систем, сотрудник компании LURHQ, занимающейся вопросами сетевой безопасности, обнаружил, что кто-то — или что-то пытается подсоединиться к несуществующему компьютеру в локальной сети его компании (это означает, что ломились "наугад", по IP-адресу, в котором был неправильно или произвольно указан номер узла).

Но гораздо интереснее было другое обстоятельство. В качестве обратного стоял адрес, относившийся к блоку, зарезервированному Администрацией по выдаче Интернет-адресов и номеров (Internet Assigned Numbers Authority — IANA). Иными словами, настоящим этот адрес быть не мог, и практически ни один провайдер не пропустил бы в этот блок никаких данных.

Было произведено более 900 попыток установить соединение, так что Стюарт не смог выяснить, откуда на самом деле поступали данные.

Стюарт вполне уверен, это было попыткой собрать данные об адресном пространстве.

Подобных случаев было отмечено много. Вначале многие даже предполагали, что виновником роста трафика стал червяк, отловленный компанией Network Associates, — W32/Randex.c.

Штаб-квартира компании LUHRQ.

Штаб-квартира компании LUHRQ.

Но, как видно из этого названия, Randex является Windows-червём. А то, что поймали компании Internet Security Systems и Intrusec, заражает только UNIX/Linux-серверы (хотя Intrusec допускают, что первоначальный вариант трояна могли быть созданы как раз для Windows), и функции червя у трояна, изначально поименованного 55808 (а потом — Stumbler), попросту отсутствуют.

Как сообщает в своём пресс-релизе Intrusec, троян 55808, предположительно является средством сканирования сетей, выискивающим открытые порты. Поскольку обратный адрес пакета-разведчика всегда фальсифицируется, то установленный в отдельно взятую систему отдельно взятая троянская программа не может самостоятельно получать информацию о сети, которую сканирует. Зато она может вылавливать пакеты данных, отправленные другими такими же программами.

Это означает, что каждая копия 55808 является своего рода "клиентом" целой сканирующей сети.

Когда одна из инсталляций трояна получает извещение об открытых портах от других инсталляций, эти данные записываются в файл, который ежедневно отправляется на определённый IP-адрес. Видимо, создателю трояна.

Кроме того, теоретически данный троян может отправлять в сканируемую подсеть специальный пакет, в котором содержится номер IP-адреса, по которому отправляется список открытых портов.

Впрочем, как выяснили эксперты, в пойманной ими версии данная функция отключена. Больше того, если трояну не удаётся соединиться с вышеуказанным IP-адресом, он пытается самоликвидироваться.

Подсказка для администраторов Linux: троян размещается по адресу /tmp/.../a (файл называется "a"), туда же записывается файл со списком открытых портов (он называется "r").

Как уже сказано, у этого трояна нет функций автоматического распространения. Следовательно, на заражённые серверы он был подсажен "вручную", целенаправленно, через какие-то эксплойты.

Что же касается IP-адреса, куда он пытается отправить собранные данные, — то по умолчанию установлен адрес 12.108.65.76:22, но такого не существует в природе. Теоретически с помощью специального пакета данных, отправленного трояну, этот адрес можно изменить. Правда, только теоретически, потому что в той копии, которую отловили Intrusec, эта функция тоже была отключена.

Резюме специалистов из Intrusec: 55808/Stumbler — это опытный образец. Кто-то пытается создать то, что называется "трояном третьего поколения".

Антивирусные компании и специалисты по безопасности много говорили по поводу возможного появления таких троянов, а кто-то сидел и слушал. В Intrusec утверждают, что автор вируса почерпнул все свои идеи из пресс-релизов, статей и почтовых рассылок, в которых расписывалось теоретическое поведение таких программ.

И сейчас идут предварительные испытания трояна, фактически придуманного антивирусниками. Автор вируса просто следовал инструкциям...

Привилегию делать соответствующие выводы мы оставляем нашим читателям.

Пока у этого "зверя" нет деструктивного потенциала, функций для организации DoS-атак, или каких-нибудь иных вредоносных черт, он относительно безопасен.

Однако сам факт целенаправленного распространения трояна-невидимки, чьё присутствие в системе очень трудно обнаружить, специалистов очень настораживает. Теоретически этот троян может помочь в создании подробной карты Интернета в целом и отдельных уязвимых сетей, в частности, посему его и поторопились назвать "хакерским инструментом".

Никакой уверенности в том, что это именно подготовка к какому-то очередному интернет-злодеянию, вроде массивной DoS-атаки против каких-либо серверов, специалисты пока не испытывают.

Статья получена: Membrana.ru

загрузка...

 

 

Наверх


Постоянная ссылка на статью "Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

Вирусные эпидемии — одна из главных "болезней" современного Интернета. Когда месяц назад в Сети начался рост аномального трафика, специалисты по безопасности сначала занервничали — тем более, что его причину установить никак не удавалось. Потом, правда, выяснилось, что трафик — не вредоносный.

» Интересное в сети - 0 - читать


Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

Вирусные эпидемии — одна из главных "болезней" современного Интернета. Когда месяц назад в Сети начался рост аномального трафика, специалисты по безопасности сначала занервничали — тем более, что его причину установить никак не удавалось. Потом, правда, выяснилось, что трафик — не вредоносный.

» Интересное в сети - 0 - читать


Холодный ядерный синтез&nb p;— научная сенсация или фарс?

Ядерные физики сумели произвести "холодный ядерный синтез". Эксперимент будет произведён повторно, но до сих пор неясно, то ли это прорыв в ядерной физике, то ли это международный скандал. Вердикт будет вынесен 8 марта, в день публикации отчёта об эксперименте в научном журнале Science.

» Научные исследования - 1504 - читать


Телепортация&nb p;— научная фантастика или реальность?

Реальность телепортации остаётся одной из самых спорных тем, перешедших в новую эру. Бесчисленные работы, так или иначе подтверждающие или опровергающие возможность телепортации, сменяются новыми, не менее спорными и эмоциональными. На сегодняшний день существуют два лагеря – соответственно двум видам телепортации.

» Научные исследования - 2134 - читать


Подготовка к беременности, или борьба со страхами

Консультируя женщин, отвечая на их вопросы по поводу беременности и подготовке к ней, я столкнулась с весьма негативным явлением: врачи превратили подготовку к беременности в какую-то пытку для женщин, наполнив этот процесс многочисленными необоснованными анализами, процедурами и даже лечением. Между врачом и женщиной, желающей стать матерью, все чаще возникают отношения подчиненного и подчиняемого, подавленного и подавляемого, а не отношения двух людей, работающих в одном н ...

» Беременность и роды - 3338 - читать



Статья на тему Интернет » Интересное в сети » Троян Stumbler — чьи-то изыскания или подготовка к очередному удару?

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© Art.Thelib.Ru, 2006-2024, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия Art.Thelib.Ru