Nuwar,也被称作Storm Worm,在今年的反病毒业中,是一种很流行的威胁。因为它的高水平,以及作者花费大量精力维护的这个强大的僵尸网络,使得这种威胁引起了广泛关注。操作Nuwar botnet的botherder,使用基于电驴点对点网络协议的分布式网络,来控制被感染的PC。很少有恶意软件使用这样的网络结构,因为它比我们熟悉的常用的IRC协议,或者近来的超文本传输协议(HTTP)复杂得多。使用点对点的方式增加了网络的可靠性,因为没有可以切断的中心点,也就是说,不会有单点故障(SPoF)。尽管如此,这种可靠性也是有成本的:它会显著消耗网络带宽。
下面的这张图展示了被Nuwar感染后的计算机发送(蓝色区域)和接收(红色区域)通讯包的情况。X轴表示被感染后的分钟数,Y轴表示发出数据包的数量。从图中我们可以看到,感染后的最初20分钟被用来与其他被感染的系统进行连接,并加入到这个分布式网络中。尝试连接的过程产生了很大的流量。一 旦被感染的节点加入网络,它就只做小时性的网络维护:尝试找出新加入的节点,删除已失去连接的节点。这种受控制的数据包,在图中分别对应在80分钟和140 分钟出现的峰值。
一个节点加入Nuwar网络时出现的显著柱状流量,以及以后每个小时出现的用于控制的流量,都是有警惕性的网络管理员值得关注的对象。看起来,这个 恶意软件的作者,更多的考虑了可靠性,而非秘密性。(计算机)安全业需要关注攻击者的入侵。这些付出能找出设计中的薄弱环节,帮助我们保护自己的基础设 施。
观察员
Pierre-Marc Bureau
词汇
Nuwar:一种蠕虫
Botnet:僵尸网络
botherder:傀儡牧人
SPoF:single point of failure,单点故障
网友评论