Mega-D
30.12.2008, 20:32
Hallo leute jeder kennt den bekannten und auch geführchteten Storm Worm.
Und manche auch den ZunkerBot,so durch zufall habe ich heute morgen bemerkt das ZunkerBot und Stormi ein und die selbe Signatur haben und immer wen ich bei google nach der Signatur von Zunkerbot gesucht habe landete ich in jeder Virendatenbank bei Storm Worm.
Der ZunkerBot ist Public in jedem Forum,Zunker versendet sich per email wie in den News von Storm Worm.
ZunkerBot läuft über ein Webinterface und Stormi ist ein P2P Bot,aber was mir aufgefallen ist heute morgen noch in der News von Golem http://www.golem.de/0812/64333.html
Bereits bekannt war, dass das Storm-Botnet ein modifiziertes eDonkey-Protokoll nutzt. Die frisch auf einem PC installierte Software kennt bereits einige Stormnodes und sucht dann weitere Knoten für die eigene Routingtabelle. Darüber machen sich die Stormnodes dann im Botnet auf die Suche nach weiteren Knoten und sogenannten Command & Control Servern (C&C Server), um sich von Letzteren ihre Befehle selbst abzuholen. Das kann der Versand von E-Mails oder die Installation von Software sein.
So wen ich mir jetzt ein Diagramm von einem P2P Botnet anschaue dann stimtm das aber nicht übereinn mit der News.
Hier ist keine verbindung zu einem C&C zu sehn.
http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure2.png
Was mir noch aufgefallen ist,in den News von heise.de wird gesagt das Stormi eine BulletProof Domain (Kick Sicher) und sich zu einem Fast-Flux (DNS Server mit Round Robin DNS) verbindet.
Nun warum sollte ein P2P Bot sich zu einem Fast-Flux verbinden was dazu dient eine reihe von proxys vor einen C&C zu schalten wen ein P2P Bot sich zu keinen C&C verbindet ?
Wen man jetzt einen Zunkerbot.exe bei VT upped bekommt man folgende Signaturen zu sehn.
Email-Worm.Win32.Zhelatin
Trojan:W32/Mespam
W32/Nuwar
W32/Tibs
Das sind alles Signaturen von Storm Worm und wen ich in die Datenbank von Viruslist schaue unter der Signatur Email-Worm.Win32.Zhelatin.o http://www.viruslist.com/en/viruses/encyclopedia?virusid=150767 dann lande ich bei Stormi und oben sind die Signaturen Other versions: .a, .ab, .au, .ch, .db, .t, .u, .v die im Zunkerbot zu finden sind besonders die .ch ist häufig zu finden.
Also um genaueres herausfinden zu können müste jemand der sich mit Reverse Engineering auskennt eine zunkerbot.exe anschauen ob dort weitere übereinstimmungen sind wie das Kademlia Protokoll.
Wen all das stimtm dann ist der heiß begehrte Storm Worm die ganze zeit Public vor unserer Nase und keiner hat es bemerkt.
Das alles sind nur vermutungen auf Nachforschungen die ich gemacht habe.
Und manche auch den ZunkerBot,so durch zufall habe ich heute morgen bemerkt das ZunkerBot und Stormi ein und die selbe Signatur haben und immer wen ich bei google nach der Signatur von Zunkerbot gesucht habe landete ich in jeder Virendatenbank bei Storm Worm.
Der ZunkerBot ist Public in jedem Forum,Zunker versendet sich per email wie in den News von Storm Worm.
ZunkerBot läuft über ein Webinterface und Stormi ist ein P2P Bot,aber was mir aufgefallen ist heute morgen noch in der News von Golem http://www.golem.de/0812/64333.html
Bereits bekannt war, dass das Storm-Botnet ein modifiziertes eDonkey-Protokoll nutzt. Die frisch auf einem PC installierte Software kennt bereits einige Stormnodes und sucht dann weitere Knoten für die eigene Routingtabelle. Darüber machen sich die Stormnodes dann im Botnet auf die Suche nach weiteren Knoten und sogenannten Command & Control Servern (C&C Server), um sich von Letzteren ihre Befehle selbst abzuholen. Das kann der Versand von E-Mails oder die Installation von Software sein.
So wen ich mir jetzt ein Diagramm von einem P2P Botnet anschaue dann stimtm das aber nicht übereinn mit der News.
Hier ist keine verbindung zu einem C&C zu sehn.
http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure2.png
Was mir noch aufgefallen ist,in den News von heise.de wird gesagt das Stormi eine BulletProof Domain (Kick Sicher) und sich zu einem Fast-Flux (DNS Server mit Round Robin DNS) verbindet.
Nun warum sollte ein P2P Bot sich zu einem Fast-Flux verbinden was dazu dient eine reihe von proxys vor einen C&C zu schalten wen ein P2P Bot sich zu keinen C&C verbindet ?
Wen man jetzt einen Zunkerbot.exe bei VT upped bekommt man folgende Signaturen zu sehn.
Email-Worm.Win32.Zhelatin
Trojan:W32/Mespam
W32/Nuwar
W32/Tibs
Das sind alles Signaturen von Storm Worm und wen ich in die Datenbank von Viruslist schaue unter der Signatur Email-Worm.Win32.Zhelatin.o http://www.viruslist.com/en/viruses/encyclopedia?virusid=150767 dann lande ich bei Stormi und oben sind die Signaturen Other versions: .a, .ab, .au, .ch, .db, .t, .u, .v die im Zunkerbot zu finden sind besonders die .ch ist häufig zu finden.
Also um genaueres herausfinden zu können müste jemand der sich mit Reverse Engineering auskennt eine zunkerbot.exe anschauen ob dort weitere übereinstimmungen sind wie das Kademlia Protokoll.
Wen all das stimtm dann ist der heiß begehrte Storm Worm die ganze zeit Public vor unserer Nase und keiner hat es bemerkt.
Das alles sind nur vermutungen auf Nachforschungen die ich gemacht habe.