Agent86 - 10-8-2003 у 19:35
Опублiковано 24 червня 2003 року
Починаючи iз середини травня, фахiвцi з комп'ютерної безпеки намагаються
визначити джерело дивного трафiка, що передається по iнтернетi. Єдиною вiдмiтною
рисою цього коду є розмiр вiкна, що у протоколi TCP показує, яка кiлькiсть даних може
бути вiдправлена без чекання пiдтвердження з боку одержувача. У випадку невiдомого
трафiка, реєстрованого останнiм часом iз завидною регулярнiстю, розмiр вiкна
складає 55808 байт. Дивний код передається на випадковi IP-адреси i випадковi порти,
джерело ж трафiка замасковане, i в якостi його джерела вказується неiснуюча
IP-адреса.
Хоча незвичайний трафiк спостерiгається в iнтернетi вже бiля мiсяця, першi версiї про
його можливу природу з'явилися тiльки зараз. Зокрема, компанiя Internet Security Systems
випустила бюлетень ( http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22441 ), у якому джерелом дивного коду називає
троянську програму, що у компанiї назвали Stumbler. Метою Stumbler є своєрiдна розвiдка -
пошук в iнтернету серверiв i служб, потенцiйно уразливих для атаки. На вiдмiну вiд
вiдомих програм такого роду Stumbler дуже важко знайти i вiдстежити, оскiльки автори
програми застосували рiзнi методи для маскування своїх дiй, зокрема, пiдробцi
IP-адреси.
За даними Internet Security Systems, програма намагається знайти уразливi сервери i служби
шляхом вiдправлення по випадковiй адресi пакета TCP SYN. Оскiльки зворотна адреса
вихiдного запиту пiдроблена, то здавалося б, вiдповiдь сервера й iнформацiю про його
вразливостi одержати неможливо. Однак у Internet Security Systems думають, що Stumbler має
розподiлену структуру i використовує снiфер пакетiв, що надбудовується на
випадковi IP-адреси, намагаючись перехопити вiдповiдi серверiв. Зiбрану iнформацiю
програма передає на адресу 12.108.65.76, порт 22. У цiлому ж, Stumbler є безпечною
експериментальною програмою, що не вмiє самостiйно поширюватися по Мережi або
заражати iншi комп'ютери. Крiм того, у програмi є цiлий ряд помилок.
До Internet Security Systems свої припущення про природу дивного трафiка висловила компанiя
Intrusec. Вона також зв'язала виникнення трафiка з дiяльнiстю експериментального
мережного хробака або трояна. Однак, за даними Intrusec, iдентифiкована спiвробiтниками
компанiї програма є лише одним iз джерел дивного трафiка. Опис Intrusec досить близько
до даних Internet Security Systems, однак не цiлком збiгається з ним. Зокрема, у Intrusec не
виключають того, що троян може поширюватися самостiйно i повiдомляють, що поки його
активнiсть помiчена лише на комп'ютерах пiд керуванням Linux.
У Intrusec також вважають програму, що генерує даний трафiк, експериментальною. Вона є
своєрiдним доказом на користь можливостi створення трояна. Не виключено, що в
майбутньому нароби авторiв програми ляжуть в основу дiйсно небезпечних програм.
джерело : www.compulenta.ru