Storm Worm

A praga mais presente de 2007 continua sendo o Storm Worm. A primeira notícia do malware apareceu em Janeiro e ele continua não só ativo como variando seus métodos de infecção. Os autores do ataque mostraram possuir cartas sob a manga para confundir e dificultar a detecção. Uma descrição bem completa do ataque pode ser encontrada em alerta do X-Force na página http://iss.net/threats/W32.Worm.Nuwar.Gen.html. O alerta é do dia 19 de Janeiro porém está atualizado. Há duas reflexões a partir do Storm Worm: a grande quantidade de opções de variação que está nas mãos dos hackers e o incrível poder de fogo das redes bot (ou zumbis). Estatísticas sobre o ataque desde o seu início estão em blog da Websense: http://www.websense.com/securitylabs/blog/blog.php?BlogID=147

A primeira onda de ataque ocorreu exclusivamente por spam em massa, com anexos que infectavam o computador da vítima ao ser executados. Nas ondas adicionais as mensagens de correio eletrônico foram alteradas a fim de iludir suas vítimas. Também desde o inicio os autores do ataque inundaram a Internet com variantes do programa inicial responsável por baixar os programas adicionais que compõem o ataque (o downloader) , assim como variantes dos próprios programas adicionais.

A última onda, ocorrida em Setembro, foi baseada em técnicas de invasão via web. O web site legítimo de um congresso no estado de Wisconsin (USA) foi invadido e nele foi inserido uma linha de código que inicia o download do malware. Eles também criaram um site falso da liga americana de futebel americana para infectar usuários que chegaram a ela a partir de um email de phishing. Um determinado vídeo disponível do YouTube também serviu de isca. Os autores de malware certamente lançarão mão de todas as opções possíveis, alavancados sem dúvida pelos novos fornecedores de kits de invasão.

O Storm Worm criou uma rede bot que continua em expansão. Um artigo na Information Week chegou a comparar o poder de processamento dessa rede com um supercomputador da IBM –http://www.informationweek.com/news/showArticle.jhtml?articleID=201804528&pgno=1&queryText= . A questão é como lidar com essas formidáveis redes com milhares e até milhões de computadores. Ocorrências como a que ocorreu na Estônia em Maio, na qual o país saiu literalmente no ar, nos levam a pensar nas possíveis implicações dessas redes usadas para atacar países (http://www.informationweek.com/news/showArticle.jhtml?articleID=199701774 ).