Wie der Storm-Wurm die Anti-Virus-Welt in Atem hält

Report: Der Sturmwurm – die Evolution der Malware

Kontrolle via P2P

Ein von Storm erstelltes Bot-Netz unterscheidet sich signifikant von den Bot-Netzen früherer Würmer. Zum Beispiel verzichtet Storm auf eine zentrale Struktur, bei der alle Bots mit einem Kontroll-Server verbunden sind. Wird dieser Server vom Netz genommen, bricht das traditionelle Bot-Netz im Normalfall zusammen.

Traditionell: Ältere Bot-Netze verwenden zentrale Kontroll-Server. Nimmt man diese offline „stirbt“ das Bot-Netz.
Traditionell: Ältere Bot-Netze verwenden zentrale Kontroll-Server. Nimmt man diese offline „stirbt“ das Bot-Netz.
Foto: F-Secure

Storm dagegen setzt auf die Peer-to-Peer-Technologie. Alle Bots sind über ein verschlüsseltes, auf dem eDonkey/Overnet-basierendem Protokoll miteinander verbunden. Die Kommandostruktur ähnelt dabei einer Ameisenkolonie. Einzelne der infizierten PCs werden zu Kommandoknoten, die die Aufträge der Bot-Netzbetreiber entgegennehmen und an die angeschlossenen Peers weiterleiten.

Peer-to-Peer: Storm setzt beim Aufbau auf die P2P-Architektur, so dass der Ausfall einzelner Komponenten kaum ins Gewicht fällt.
Peer-to-Peer: Storm setzt beim Aufbau auf die P2P-Architektur, so dass der Ausfall einzelner Komponenten kaum ins Gewicht fällt.
Foto: F-Secure

Fällt einer aus, kann ein anderer Client die Kontrolle übernehmen, somit wird es nahezu unmöglich, das komplette Netz zu zerstören. Interessanter Nebeneffekt: Die hoch entwickelte Funktionsweise hat dem Storm-Bot-Netz einen eigenen Wikipedia-Eintrag gebracht.