폭풍 좀비 네트워크의 구성

좀비 네트워크와 스톰 웜 전파를 제어하는 백그라운드 서버 그룹은 매시간 전파 감염 소프트웨어를 두 번 자동으로 다시 인코딩하여 새 미디어로 사용합니다. 즉, 바이러스 백신 소프트웨어 공급업체는 바이러스의 확산과 작동을 막기 어렵습니다. 또한 좀비 네트워크를 제어하는 원격 서버의 위치는' fast flux' 라는 고정 변환 DNS 기술 뒤에 숨겨져 있어 호스트 스테이션과 메일 호스트를 찾아 가로채기가 더욱 어려워집니다. 간단히 말해서, 이 기계들의 이름과 위치는 자주 번갈아 가며, 종종 몇 분마다 번갈아 간다. 폭풍 좀비 네트워크 운영자는 지점간 기술 제어 시스템을 통해 외부 살인 시스템의 난이도를 높였다. 폭풍 좀비 네트워크를 막기 위한 중앙' 지휘통제점' 은 없다. 좀비 네트워크도 암호화 스트림을 사용하여 전파한다. PC 에 감염되는 방식은 보통 사람들이 믿고 바이러스가 있는 메일을 다운로드하는 것 이상이다. 간단한 예로 좀비 네트워크 컨트롤러는 국가축구연맹의 개막 주말을 이용해' 축구 경기 추적 프로그램' 을 제공한다고 거짓으로 이메일을 보냈다. 사실, 그것은 사용자의 컴퓨터를 감염시키는 것 외에는 아무것도 하지 않았다. MessageLabs 수석 안티스팸 기술자 Matt Sergeant 는 "컴퓨팅 능력으로 볼 때 슈퍼컴퓨터는 [좀비 네트워크] 의 공격에 취약하다" 고 말했다. 500 대의 최고급 슈퍼컴퓨터의 능력을 모두 합치면 슈퍼컴퓨터 클러스터는 2 백만 대의 좀비 네트워크 기계와 맞설 수밖에 없다. 이 범죄자들이 이런 계산을 사용할 수 있다는 것은 끔찍한 일이지만, 우리가 반격할 수 있는 부분은 정말 제한적이다. " 보안 전문가들은 현재 모든 스톰 좀비망의 총 용량과 능력이10 ~ 20% 에 불과한 것으로 추정하고 있다.

보안 전문가 조 스튜어트 (Joe Stewart) 는 중간 시스템 감염을 격리하고 조사함으로써 좀비 네트워크에 가입하는 과정을 더욱 폭로했다. 좀비 네트워크에 가입하려는 임무는 대화에 참여하는 컴퓨터 시스템에 의해 일련의 EXE 파일을 점진적으로 실행하는 것이다. 일반적으로 이러한 파일은 game0.exe 에서 game5.exe 로 또는 이와 유사한 파일 이름과 같이 순차적으로 이름이 지정됩니다. 그런 다음 계속해서 실행 파일을 순차적으로 시작합니다. 이러한 실행 파일은 일반적으로 다음 작업을 수행합니다 [28].

Game 0. exe- 후면 도어/다운로더

Game 1.exe-SMTP 전달

Game 2. exe- 메일 주소 해커

Game 3. exe- 이메일 바이러스 확산

Game 4. exe- 분산 서비스 거부 공격 (DDos) 도구

Game5.exe-스톰 웜의 업데이트 사본.

각 단계에서 중간 스프링 보드 시스템은 좀비 네트워크에 연결됩니다. Fast flux DNS 기술은 이 프로세스를 추적하기가 매우 어렵습니다. 이 코드는 시스템 커널 rootkit 을 통해 창 system% windir% \ system32 \ wincom32.sys 에서 실행되며 좀비 네트워크로 돌아가는 모든 연결은 수정된 eDonkey/Overnet 통신 프로토콜을 통해 이루어집니다.