Chỉ một ngày sau khi tung ra spam về những vũ nữ múa thoát y trong dịp Giáng sinh, mạng botnet Storm đã chuyển và bắt đầu lừa người sử dụng tự “đầu độc” chính PC của mình bằng cách gửi đi tới tấp hàng loạt những tin nhắn chúc mừng năm mới.

Cõ chế phát tán và lâu nghiễm của một mạng botnet

Theo công ty bảo mật Prevx Ltd cho biết trong mạng botnet (mạng những máy tính bị tấn công) những máy tính bị nhiễm trojan Storm đã bắt đầu gửi những tin rác tựa đề “Happy 2008!” và  “Happy New Year!” từ cuối hôm Giáng sinh.

Tin nhắn này nhằm lừa người nhận truy cập vào trang Uhavepostcard.com để download và cài đặt file gắn nhãn “happy2008.exe”, file này là một dạng khác của Trojan Storm.

Chuyên gia Marco Giuliani của Prevx thông báo cho đến sớm hôm thứ 4, công ty đã phát hiện được 2 dạng phổ biến nhất của Trojan Storm: “Dạng đầu tiên tồn tại trong khoảng 10 giờ và chúng tôi nhìn thấy ít nhất 166 phiên bản của nó”. Mạng botnet này bắt đầu phát tán các tin spam về thoát y hôm thứ 2. Kể từ đó, mã của Storm cứ vài phút lại được thay đổi hình dạng. Phương thức này được tác giả malware sử dụng để đánh lừa những phần mềm chống virus dựa trên nhận dạng mã.

Những kẻ điều hành mạng botnet còn sử dụng phương pháp “fast-flux” - một chiến thuật chống lại các biện pháp bảo mật - liên tục chuyển  Uhavepostcard.com sang các địa chỉ IP khác nhau để giữ cho trang này luôn hoạt động.

Mạng lưới phát tán malware Business Network của Nga trở nên khét tiếng bởi chúng sử dụng “flast-flux” để ẩn giấu vị trí thực sự server phát tán malware, khiến cho việc truy tìm nhóm tội phạm mạng này trở nên hết sức khó khăn cho cả các nhà nghiên cứu bảo mật, các nhà cung cấp Internet và các nhà thi hành pháp luật.