Storm tilbage - nu med børneporno

Folkene bag verdens måske største bot-netværk, Storm, er vågnet op til (u)dåd igen.

It-sikkerhedsfiemaet CSIS har siden klokken 11 i dag stoppet en betragtelig mængde spam-mails, der alle forsøger at lokke modtageren til at klikke på et medfølgende link.

For at understrege det usmagelige i metoden, er flere af de opsnappede mails forsynet med links til russisk børneporno. Ellers er det gennemgående tema en mere uskyldig form for kærlighed.

Hvis modtagererne af emails'ene fra Storm-bandens SMTP zombier er nysgerrige/uvidende/skødesløse nok til at klikke på det vedlagte link, vil der blive tilbudt brugeren en binær kode med filnavnet 'mylove.exe'. Denne kode vil, ved eksekvering på systemet, droppe følgende filer til windows mappen:
msvecurity.exe og msvecurity.config. Sidstnævnte indeholder en peers liste som den inficerede maskine skal forbinde sig til for at opnå adgang til Storms P2P baserede BOTnet.

Sker denne adgang, køres den skadelige kode efter en genstart af systemet. Dette medfører ændringer i registreringsdatabasen, ligesom reglerne for firewall modificeres, så 'msvecurity.exe' opnår uhindret adgang fra
maskinen til internettet.

Når man først hertil, kan man være rimeligt sikker på, at ens maskine nu er en lydig zombie-soldat i Storm-bandens bot-netværm.