Nuwar,也被称作Storm Worm,在今年的反病毒业中,是一种很流行的威胁。因为它的高水平,以及作者花费大量精力维护的这个强大的僵尸网络,使得这种威胁引起了广泛关注。操作Nuwar botnet的botherder,使用基于电驴点对点网络协议的分布式网络,来控制被感染的PC。很少有恶意软件使用这样的网络结构,因为它比我们熟悉的常用的IRC协议,或者近来的超文本传输协议(HTTP)复杂得多。使用点对点的方式增加了网络的可靠性,因为没有可以切断的中心点,也就是说,不会有单点故障(SPoF)。尽管如此,这种可靠性也是有成本的:它会显著消耗网络带宽。
下面的这张图展示了被Nuwar感染后的计算机发送(蓝色区域)和接收(红色区域)通讯包的情况。X轴表示被感染后的分钟数,Y轴表示发出数据包的数量。从图中我们可以看到,感染后的最初20分钟被用来与其他被感染的系统进行连接,并加入到这个分布式网络中。尝试连接的过程产生了很大的流量。一 旦被感染的节点加入网络,它就只做小时性的网络维护:尝试找出新加入的节点,删除已失去连接的节点。这种受控制的数据包,在图中分别对应在80分钟和140 分钟出现的峰值。
一个节点加入Nuwar网络时出现的显著柱状流量,以及以后每个小时出现的用于控制的流量,都是有警惕性的网络管理员值得关注的对象。看起来,这个 恶意软件的作者,更多的考虑了可靠性,而非秘密性。(计算机)安全业需要关注攻击者的入侵。这些付出能找出设计中的薄弱环节,帮助我们保护自己的基础设 施。
观察员
Pierre-Marc Bureau
词汇
Nuwar:一种蠕虫
Botnet:僵尸网络
botherder:傀儡牧人
SPoF:single point of failure,单点故障
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!