Nieuchwytny koń trojański

Najnowsza metoda dystrybucji spamu i pornografii polega na uczynieniu serwerem każdego zainfekowanego komputera.

Najnowsza metoda dystrybucji spamu i pornografii polega na uczynieniu serwerem każdego zainfekowanego komputera.

Rosyjscy hakerzy wymyślili nowy sposób na dystrybucję spamu i treści pornograficznych w Internecie. Program zwany przez specjalistów migmaf nie rozprzestrzenia się samodzielnie, może jednak być przeniesiony przez inne złośliwe programy. Po zainstalowaniu na komputerze, migmaf staje się serwerem pośredniczącym pomiędzy "dostawcą treści" a jej ostatecznym odbiorcą. Zwykle przesyłany jest spam lub pornografia, choć można wyobrazić sobie także inne scenariusze.

W części pocztowej oprogramowanie działa jak serwer proxy. Pobiera spam od jego nadawcy, zmienia źródłowy adres sieciowy na własny (z reguły nieprawdziwy) i wysyła wiadomości do docelowych adresatów. W części webowej migmaf działa natomiast w charakterze serwera reverse proxy: przyjmuje ruch kierowany do niego przez użytkowników witryn pornograficznych i przekierowuje żądania do właściwego serwera przechowującego treść. Serwer treści wysyła żądaną stronę WWW do zainfekowanego komputera, a ten przekazuje ją dalej, do adresata.

Ponieważ taka działalność jest stosunkowo łatwa do wykrycia przez użytkownika lub administratora, migmaf aktywizuje się co jakiś czas na nie dłużej niż 10 minut. Zainfekowane komputery są tym bardziej trudne do wytropienia, że wykorzystują własny serwer DNS, za pomocą którego informują się wzajemnie o swojej aktywności - żądania DNS nadchodzące od innych zainfekowanych komputerów są opatrywane krótkimi "czasami życia", a odpowiednie skrypty regularnie aktualizują lokalne bazy DNS informacjami pobieranymi z ogólnodostępnych baz.

Zmyślna konstrukcja tej swoistej sieci typu Content Delivery Network sprawia, że ustalenie, gdzie tak naprawdę znajdują się jej stałe zasoby, jest prawdziwym wyzwaniem. W większości przypadków spoofingu (podszywania się pod cudze adresy IP) specjaliści w dziedzinie bezpieczeństwa są w stanie wykryć źródło w ciągu kilku minut. W przypadku konia trojańskiego migmaf wykrycie właściwych serwerów treści zajęło im aż siedem dni.

Istnieje podejrzenie, że w sieci działa co najmniej kilka wersji tego konia trojańskiego - sygnatury systemów zaporowych (firewall) i antywirusowe zostały przygotowane tylko dla wersji, które udało się zidentyfikować. Wielość wersji oznacza zazwyczaj, iż szkodliwe oprogramowanie wyszło już poza fazę koncepcyjną i dowiodło swojej skuteczności. Istnieje więc ryzyko, że migmaf może zostać wkrótce użyty do przeprowadzenia rozproszonych ataków typu Denial of Service.

Użytkownik zainfekowanego komputera zwykle nie jest świadomy tego, że jego komputer jest wykorzystywany do serwowania jakiejkolwiek treści. Na razie jedyną skuteczną metodą walki z tego typu oprogramowaniem jest instalowanie na komputerach systemów zaporowych i antywirusowych.