风暴僵尸网络
此条目需要更新。 (2019年2月7日) |
此条目翻译品质不佳,原文在en:Storm Botnet。 |
风暴僵尸网络或风暴蠕虫僵尸网络,是一种受远程控制的僵尸电脑(机器人网络)组成的网络。该网络是由暴风蠕虫(一种透过垃圾电邮散播的木马)连接而成的。研究预测截至2007年9月为止,风暴僵尸网络至少藏身于1百万到5千万部电脑系统里某处默默执行[1][2]。其他消息来源则折衷风暴僵尸网络的大小约为25万到1百万部电脑。更保守一点的估计,一位网络安全分析家宣称他曾写过一个软件“爬”过僵尸网络,以此预测风暴僵尸网络控制了约16万部受感染的电脑[3]。风暴僵尸网络首度于2007年1月左右发现,当时风暴蠕虫约占所有运行于微软窗口平台电脑流氓软件的8%[4]。
风暴僵尸网络已被用于各式各样的犯罪行为。目前它的控制者以及风暴蠕虫的作者仍未被查出。风暴僵尸网络已展示出防御性的行为,显示它的控制者正积极的保护僵尸网络,以避免种种追踪或者终止该程序的尝试。僵尸网络会针对某些试图侦查它们的保全公司或者研究员进行攻击[5]。保全专家乔·史都华(Joe Stewart)透露在2007年晚期,僵尸网络操作者开始进一步的分散其运作,可能计划将风暴僵尸网络部分卖给其他的操作者。同时期某些报告指出风暴僵尸网络正在收缩,然而许多保全专家报告说他们认为僵尸网络仍旧是在线主要保全威胁,而且考量僵尸网络身为银行诈欺、个人资讯窃取、以及其他电子犯罪方面的共犯,美国联邦调查局仍将其列为网络保全重点对象[6][7]。
2007年9月的报告指出僵尸网络已强大到足以将整个国家从互联网上隔离。根据预测,它每秒执行指令的速度足以超过某些世界顶尖的超级计算机[8]。然而,这并不是完全精确的比较。根据保全分析师詹姆士·透纳(James Turner)说把僵尸网络与超级计算机拿来比较,就像拿狙击手组成的军团与核武器相比较一样[9]。英国保全公司马歇尔(Marshal)的布莱德雷·安斯底斯(Bradly Anstis)说:“更值得担忧的事是带宽。只要算一下4百万倍的标准ADSL连线。那是很大的带宽,这让我相当担忧。有像那样的资源在他们手上—分散在世界各地,高度密布于很多国家内—意味着他们可以对许多网页托管服务商发起非常有效的分布式阻断服务攻击。”[9]
起源
风暴僵尸网络首度在2007年1月于互联网被侦测到。它与其蠕虫之所以得其名是因为一开始它用来感染宿主的email都有一行与风暴相关的标题,像“风暴侵袭欧洲,230人死亡。”[10]后期耸人听闻的标题如:“中国导弹击落美国飞机。”以及“美国国务卿康多莉扎·赖斯踹了德国总理安格拉·默克尔一脚。”[1][11][12]资讯安全专家们怀疑某些知名在逃的垃圾邮件大王,包括李欧·库马耶夫(Leo Kuvayev),可能参与或控制风暴僵尸网络的运作[13]。科技专栏作家丹尼尔·汀南(Daniel Tynan),在他一篇以罗伯特·克灵居礼(Robert X. Cringely)作为笔名的著作写道:很大部分风暴僵尸网络之所以存在的过失得归因于微软与Adobe Systems[14]。其他研究指出,风暴僵尸网络获取牺牲品的主要方法是透过经常变换其社会工程体系来蛊惑用户[15]。根据派崔克·朗诺(Patrick Runald)的研究,风暴僵尸网络有强烈的美国事务焦点,因此多半在美国国内有干员在其组织中工作并支持其运作[16]。不过,某些专家相信风暴僵尸网络控制者群是俄罗斯人,特别是俄罗斯商业网络涉有重嫌。其根据是风暴蠕虫软件提到了对在莫斯科的卡巴斯基公司的憎恨,并且文件里含括了个俄罗斯的单字“Buldozhka”,即“斗牛犬”之意[17]。
组成
风暴僵尸网络是由Windows作为其操作系统的电脑组成[18]。一旦受到感染,机器就变成了僵尸电脑。僵尸电脑会在电脑拥有者不知情或未允许下径自自动进行多种工作,包括任何从获取用户资料、攻击网站、到转发传染电邮的种种事务。预估约5千到6千部电脑是专门做透过电邮夹带感染过的附件来繁殖扩散蠕虫这件事。截至2007年9月,僵尸网络提交了12亿条病毒资讯,其中光在2007年8月22日的单日纪录就达到5千7百万条[18]。根据电脑法学鉴识家劳伦斯·鲍德温(Lawrence Baldwin)所言:“总合来说,暴风僵尸网络每日提交约10亿条资讯。它可轻易的再多加两个零。”[1]勾引受害者的方法之一是感染免费音乐网站,像提供如碧昂丝·诺利斯、凯莉·克莱森、蕾哈娜、老鹰乐队、及一些当地知名艺人音乐免费下载的网站[19]。而基于数码签名为主的侦测(一种大部分电脑系统对抗病毒与流氓软件感染主要防御手段)因受到大量风暴蠕虫变种的攻击而阻碍其性能[20]。
控制僵尸网络与风暴蠕虫扩散的后台伺服器群自动对它们的扩散感染软件以一小时两次的速度重新编码,作为新的传播介质。这种手段使得杀毒软件商终止病毒扩散及运作较为棘手。另外,控制僵尸网络的远程伺服器位置藏在一种固定变换DNS技术,叫做“快速通量”(fast flux)之后,[10]使发现并拦截其宿主站与邮件主机更为困难。简单来说,这群机器名称与位置常常轮换,往往是几分钟就换一次[21]。风暴僵尸网络操作者透过点对点技术控制系统,让外部查杀该系统更加不易达成[22][23]。在风暴僵尸网络里并没有中央“命令控制点”可以停止该网络[24]。僵尸网络也利用加密流传播[25]。其感染个人电脑的办法通常不外乎透过操弄使人们相信并下载夹带病毒电邮的几种实做里打转。其中一个简单的例子,僵尸网络控制者利用美国国家美式橄榄球联盟开赛周末,提交电邮谎称提供“足球赛事追踪程序”,事实上它除了感染用户电脑以外什么事都没做[26][27]。据MessageLabs的首席反垃圾邮件技术员麦特·斯尔金(Matt Sergeant)说:“以计算能力论,超级计算机终究不堪僵尸网络一击。如果你把所有500部顶尖的超级计算机能力加起来,超级计算机群只能与两百万部僵尸网络机器匹敌。这些罪犯拥有可使用如此计算能力实在很可怕,然而我们可以反击的部分实在有限。”[18]保全专家们预估现在使用的只有全部风暴僵尸网络总容量与能力的10%到20%[28]。
保全专家乔·史都华利用隔离考察中间系统被感染至加入僵尸网络的方式进一步揭露其过程:尝试加入僵尸网络的任务是由参与对话中的电脑系统逐步执行一系列的EXE文件。通常,这些文件被按照顺序命名,例如从game0.exe到game5.exe,或者类似文件名。它随后继续轮流启动可执行文件。这些可执行文件一般进行的任务如下[29]:
- game0.exe:后门 / 下载器
- game1.exe:SMTP转发
- game2.exe:Email地址盗号器
- game3.exe:Email病毒扩散器
- game4.exe:分布式拒绝服务攻击(DDos)工具
- game5.exe:更新过的风暴蠕虫拷贝
在每个阶段里,中间跳板系统将连上僵尸网络。快速通量DNS技术使得追踪这个过程异常艰难。这代码是从窗口系统%windir%\system32\wincom32.sys下透过系统内核rootkit执行,并且所有连回僵尸网络的连线都是透过修改过的eDonkey/Overnet通讯协议达成[29]。
方法论
风暴僵尸网络以及它的变种采用广泛的攻击方法,因而相对多样的的防御步骤亦同时存在[30][31]。风暴僵尸网络不但受到其背后组织监视并自我防卫,它也会攻击那些提供在线扫描被风暴病毒感染电脑的主机[32]。僵尸网络会以拒绝访问反击以防卫它自己,借此保持其内部一贯性[33]。在过去某个时段,以前用来散播僵尸网络的风暴蠕虫曾企图在互联网上释放上百上千种它自己的版本,打算以一次密集性攻击来压垮杀毒反流氓软件保全公司的防卫线[34]。根据IBM保全研究员约书亚·柯曼(Joshua Corman)指出:“这是我记忆中有史以来第一次看过研究员真的害怕去调查这个漏洞。”[35]研究员们仍旧不确定僵尸网络的防御及反击是由程序自动启动的,或是该系统操作者手动执行的[35]。“如果你试着给它绑个调试器,或者对中继站回报的站点进行查询,僵尸网络会马上发现并立刻惩罚你。在SecureWorks事件后,僵尸网络中一小块直接DDoS某研究员并把他拿下网。每一次我听到某个调查站试着要查这档事,他们会自动被惩罚。它知道它自己被调查,并惩罚他们。它进行反击。”柯曼补充道[36]。
Spameater.com以及其他站像419eater.com与Artists Against 419,都是对抗419电子垃圾邮件诈欺的网站,他们都曾经历过DDoS攻击,造成被攻击站点暂时完全无法运作。DDoS攻击包括进行大量的同时网络请求到这些或者其他目标的IP地址群,造成伺服器负载过荷并阻塞主机回应请求[37]。其他反垃圾反诈欺的集团,如Spamhaus Project,也遭受到攻击。Artist Against 419网站网管表示该站倒站前伺服器达到每小时4千亿字节资料量(400gbits/h),相当于约300部ADSL连线机器同时持续不断的上传攻击流量,并每部必须达到其带宽最大理论值每秒30万字节(300kbit/s)。鉴于理论值现实上永不可能达到,当时动员的机器可能两倍多,并且类似做案方式发生在一打以上的反诈欺网站上。一位垃圾信件研究员陈杰夫说:“在打击风暴僵尸网络的观点上,从好的方面看是艰巨,从坏的方面看是不可能,因为这些坏蛋控制了数以百计百万位元(megabits)的流量。某些证据显示他们可能控制了上以百计十亿位元(gigabis)的流量,这种流量足以将某些国家整个从互联网驱离。”[8]
风暴僵尸网络的系统也在受害人电脑系统本地端采取步骤防卫它自己。在某些中间系统里,僵尸网络在窗口机器下创造了某个电脑进程;无论何时一个新程序或者其他进程开始执行该进程都会告知风暴系统。在之前,风暴蠕虫在本地端仅仅只会告诉其他程序—如反毒反流氓程序—不去执行。然而,根据IBM保安研究指出,现在版本的暴风蠕虫不过“愚弄”本地系统以为程序正常执行无误,不过实际上它们什么都没有做。“程序,不单包括可能触发存取违规的exe档、dll档、与sys档,亦包括软件像P2P应用程式BearShare以及eDonkey都将看起来顺利执行,即使它们并不实际上做什么事,这种方式远远比起一个进程受到外面影响突然间终止那种做法较不容易让人起疑。”Sophos公司的理查·科函(Richard Cohen)道。中间系统的用户,以及相关的保全系统,将会假定保全软件跑得好好的,实际上阳奉阴违[36]。
2007年9月17日,一个美国共和党的网站被当作中继站来散播风暴蠕虫与僵尸网络[38][39]。2007年10月,僵尸网络利用YouTube里邮件系统里CAPTCHA应用程式的漏洞,递送垃圾邮件到Xbox拥有者,假意欺骗他们有机会赢得最后一战3电子游戏特别版[40]。其他攻击方式像利用人们喜欢可爱或者新奇事物的心理,例如微笑的小猫动画、跳舞的骷髅图片[41]以获取人们点击木马程序下载,还有蛊惑雅虎地球村服务的旗下用户下载软件,因为信件假称地球村本身需要用到它[42][43]。趋势科技的保罗·佛古森(Paul Ferguson)特别针对地球村的那次攻击称之为“充分准备的入侵感染”,并牵涉到俄罗斯商业网络—一个知名的垃圾邮件与流氓软件服务组织—的成员[43]。2007年圣诞夜,风暴僵尸网络开始提交有针对男与女“性”趣假期专题资讯,像“找个美豚过剩蛋”(Find Some Christmas Tail)、“圣诞12女(The Twelve Girls of Christmas)”、“耶诞老婆今晚上门!(Mrs. Claus Is Out Tonight!)”、以及媚惑的女性照片。这种方式被描述为企图在假期期间勾引更多未保护系统加入僵尸网络以拓展其规模,而此时相对的网络保全商的保全更新可能得花较长时间才能部署完毕[44][45]。在圣诞节脱衣舞娘邮件散播后隔一日,风暴僵尸网络操作者立刻开始提交新一轮电邮,宣称希望他们的收件人都“2008年新年快乐”[46]。
在2008年1月,僵尸网络首度被侦测到跟钓鱼网站攻击主流金融机构挂勾,此次的目标是巴克莱银行与海利发克斯银行[47]。
加密与销售
2007年10月15日左右,研究显示部分风暴僵尸网络及其变种上市待售[48][49]。这交易可透过使用特制的保全密钥对僵尸网络流量与资讯加密进行[25]。该特制密钥允许与其相匹配的风暴僵尸网络的每个部分、或者子区域进行联系。[10]然而如果密钥有特定长度与签名的话,这种方式在未来将可使他人侦测、追踪、并且封闭风暴僵尸网络的流量,[48]。电脑保全公司Sophos同意,将风暴僵尸网络进行细切,可以猜测为是它准备转售其服务的征兆。Sophos的葛拉汉·库雷(Graham Cluley)说:“风暴僵尸网络对加密流的使用,是引起我们实验室注目的有趣功能。它最有可能的用途,是提供电子罪犯租用部分的网络以作为其滥用所需。如果网络被这些人用来做垃圾邮件、分布式拒绝服务攻击、以及其他恶意用途,我们都不会感到惊讶。”[50]保全专家们表示,如果风暴僵尸网络被流氓软件市场所切割,以“立即可用+僵尸网络制作+垃圾邮件包”形式发行,世人将会看到风暴僵尸网络相关感染与中继电脑系统数量急遽的增加[51]。密钥加密功能仅仅存在于2007年10月第二周以后成为风暴僵尸网络中继系统的电脑。这意味着要被追踪与屏闭在这段时间之前成为中继电脑的系统仍旧困难重重[52]。
在风暴僵尸网络这部分被发现的几日内,来自新子区段的垃圾邮件已被各大保全公司所揭露。于10月17日晚间,保全公司开始看到新的垃圾邮件内嵌了MP3音乐档,而该信企图欺骗受害者去投资细价股,以作为非法炒股诈骗的一部分。研究相信此次是前所未见、首度利用实际的音乐文件以愚弄受害者的垃圾电邮欺诈案例[53]。然而,几乎不像所有其他的风暴僵尸网络相关的电邮,这些新的音乐-股票欺诈资讯并没有包括任何病毒或者风暴僵尸网络流氓软件酬载;它完全不过是股票欺诈的一部分[54]。
2008年1月,僵尸网络首度被侦测出与针对主要金融机构用户的钓鱼网站攻击挂勾。瞄准的欧洲银行机构包括:巴克莱银行、海利发克斯银行、以及苏格兰皇家银行[47][55]。F-Secure这些攻击载台应用特制密钥,此表示用于攻击的僵尸网络区段是租来的[55]。
现状
2007年9月25日,据估计微软对窗口恶意软件移除工具(MSRT)中的一个更新抑制了僵尸网络的规模最多达20%[56]。微软宣称,二百六十万部扫描过的Windows系统中,新的补丁从其中的274,372部受感染系统中移除了风暴蠕虫[57]。不过,根据微软资深保全人员所说:“超过180,000已被MSRT清理干净的机器,它们很可能打从第一日开始就是家用机器,意思就是不活跃参与‘风暴僵尸网络’每日的作业。”这间接指出MSRT清理可能只是象征性能采取的最好行动[58]。
2007年10月末,某些报告指出风暴僵尸网络已经正在失去其暨有规模,并且数量显著的减少[59]。圣地亚哥加利福尼亚大学的保全分析师布兰登·恩来(Brandon Enright)估计僵尸网络截至10月末已经掉到约160,000部中继系统,与他于2007年7月预测的约1,500,000部系统相比较[3]。不过,恩来注明:僵尸网络的组合时常变动,而且它仍旧主动的自我防御外来的攻击与监测。“如果你是个研究员并且你访问流氓软件宿主网页太多次...那么一个自动进程将自动对你投射拒绝存取攻击。”他说道,并且随后补充了他的研究使得风暴僵尸网络攻击圣地亚哥加利福尼亚大学,造成该校部分的网络瘫痪无法上网[60]。
电脑保全公司McAfee表示风暴蠕虫很可能是未来攻击的基础[61]。之前发现Mydoom蠕虫的著名保全专家克雷格·雪姆加(Craig Schmugar)称风暴僵尸网络是趋势设立者,其行为引领了罪犯们利用更多类似的策略[62]。这类僵尸网络的衍申之一被赋予“垃圾邮件帮派名人”的称号,肇因于他们使用与风暴僵尸网络控制者类似的技术工具。然而,不像过去风暴操作者使用来勾引牺牲品的复杂社交工程那样,垃圾邮件帮派名人承散播影视名人(如安吉丽娜·朱莉与布兰妮·斯皮尔斯)的裸照之便[63]。思科系统保全专家在报告中指出他们相信风暴僵尸网络在2008年依然是个严重威胁,并且说他们预测其规模仍保持在“上百万部”[64]。
于2008年年初,在其黑帽经济体系下运作的风暴僵尸网络也碰到了其商业上的竞争对手:努哈赤(Nugache)组织,它是另一个类似的、首度于2006年被鉴识出来的僵尸网络。报告指出介于两者僵尸网络操作者为其电邮递送服务销路的价格战可能暗潮汹涌[65]。随着介于2007-2008年圣诞节与元旦假期间,德国Honeynet计划研究者报告指出风暴僵尸网络可能会在该期间最多扩展其20%的规模[66]。MessageLabs Intelligence于2008年3月的报告预测所有互联网上的垃圾电邮总数超过20%来自于风暴僵尸网络[67]。
Stormbot 2
2010年4月28日,迈克菲(McAfee)对传闻中的Stormbot 2予以了证实。
参见
参考文献
- ^ 1.0 1.1 1.2 Spiess, Kevin. Worm 'Storm' gathers strength. Neo Seeker. 2007年9月7日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ Storm Worm's virulence may change tactics. British Computer Society. 2007年8月2日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ 3.0 3.1 Francia, Ruben. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge. 2007年10月21日 [2007年12月26日]. (原始内容存档于2007年12月24日).
- ^ Dvorsky, George. Storm Botnet storms the Net. Institute for Ethics and Emerging Technologies. 2007年9月24日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ Leyden, John. Storm Worm retaliates against security researchers. The Register. 2007年10月25日 [2007年10月25日]. (原始内容存档于2007年10月27日) (英语).
- ^ Fisher, Dennis. Experts predict Storm Trojan's reign to continue. Search Security. 2007年10月22日 [2007年12月26日]. (原始内容存档于2007年12月17日) (英语).
- ^ Coca, Rick. FBI: 'Botnets' threaten online security. Inside Bay Area. 2007年12月18日 [2007年12月27日]. (原始内容存档于2008年6月22日) (英语).
- ^ 8.0 8.1 Gaudin, Sharon. Storm Worm Botnet Attacks Anti-Spam Firms. 资讯周刊. 2007年9月18日 [2007年10月10日]. (原始内容存档于2007年10月11日) (英语).
- ^ 9.0 9.1 Tung, Liam. Storm worm: More powerful than Blue Gene?. ZDNet Australia. 2007年9月12日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ 10.0 10.1 10.2 Storm Worm 暴風雨加密再進化. 台湾国家资通安全会报. 2007-10-29 [2009-01-29]. (原始内容存档于2012-12-22) (中文(繁体)).
- ^ Brodkin, Jon. Financially motivated malware thrives. 2007年9月7日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ Null, Christopher. Devastating "Storm" Computer Worm Waiting in the Wings. Yahoo! News. 2007年10月22日 [2007年12月26日] (英语).[失效链接]
- ^ Utter, David. Storm Botnet Driving PDF Spam. 2007年7月13日 [2007年10月10日]. (原始内容存档于2007年9月23日) (英语).
- ^ Cringely, Robert X. The Gathering Storm. InfoWorld. 2007年10月17日 [2007年10月17日]. (原始内容存档于2008年7月19日) (英语).
- ^ Holz, Thorsten. Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm. Usenix. 2008年4月9日 [2008年4月23日]. (原始内容存档于2008年4月20日) (英语).
- ^ Singel, Ryan. Report: Cybercrime Stormed the Net in 2007. Wired News. 2007年12月7日 [2007年12月27日]. (原始内容存档于2008年5月17日) (英语).
- ^ Larkin, Erik. The Internet's Public Enemy Number One. PC World. 2007年12月3日 [2007年12月27日] (英语).[失效链接]
- ^ 18.0 18.1 18.2 Gaudin, Sharon. Storm Worm Botnet More Powerful Than Top Supercomputers. 2007年9月6日 [2007年10月10日]. (原始内容存档于2007年10月11日) (英语).
- ^ Gaudin, Sharon. After Short Break, Storm Worm Fires Back Up With New Tricks. 资讯周刊. 2007年9月4日 [2007年10月10日]. (原始内容存档于2007年10月12日) (英语).
- ^ Fisher, Dennis. Storm, Nugache lead dangerous new botnet barrage. Search Security. 2007年12月17日 [2007年12月27日]. (原始内容存档于2007年12月24日) (英语).
- ^ Leyden, John. Storm Worm linked to spam surge. The Register. 2007年9月14日 [2007年10月17日]. (原始内容存档于2008年5月16日) (英语).
- ^ Schneier, Bruce. Gathering 'Storm' Superworm Poses Grave Threat to PC Nets. Wired News. 2007年10月4日 [2007年10月17日]. (原始内容存档于2008年12月27日) (英语).
- ^ Gaudin, Sharon. Hackers Breaking Up Botnets To Elude Detection. 资讯周刊. 2007年10月3日 [2007年10月17日]. (原始内容存档于2007年10月12日) (英语).
- ^ Sorensen, Chris. Storm Worm the 'syphilis' of computers. The Star. 2007年10月15日 [2007年10月17日]. (原始内容存档于2007年10月17日) (英语).
- ^ 25.0 25.1 Utter, David. Storm Botnets Using Encrypted Traffic. Security Pro News. 2007年10月16日 [2007年10月17日]. (原始内容存档于2007年12月10日) (英语).
- ^ Storm DDoS hits anti-scam sites. Virus Bulletin.com. 2007年9月10日 [2007年10月17日]. (原始内容存档于2007年10月11日) (英语).
- ^ Gaudin, Sharon. NFL Kickoff Weekend Brings Another Storm Worm Attack. 资讯周刊. 2007年9月10日 [2007年10月17日]. (原始内容存档于2007年10月12日) (英语).
- ^ Hernandez, Pedro. Storm Worm Rewrote the Botnet and Spam Game. Enterprise IT Planet. 2007年10月4日 [2007年10月17日]. (原始内容存档于2007年10月11日) (英语).
- ^ 29.0 29.1 Stewart, Joe. Storm Worm DDoS Attack. Secure Works. 2007年2月2日 [2007年10月17日]. (原始内容存档于2008年10月23日) (英语).
- ^ Can we detect sleeper cell bots?. Khushboo Shah, Ph.D. 2007-11-09 [2008-10-11]. (原始内容存档于2008-09-20) (英语).
- ^ Philip Hunter. PayPal, FBI and others wage war on Botnet armies. Can they succeed? (pdf). ScienceDirect.com. 2008-05-15 [2008-12-11]. (原始内容存档于2018-06-06) (英语).
- ^ McCloskey, Paul. Storm Warning: Botnet Gearing Up To Attack Defenders. 资讯周刊. 2007年9月14日 [2007年10月17日]. (原始内容存档于2007年10月11日) (英语).
- ^ Gaudin, Sharon. Storm botnet puts up defenses and starts attacking back. 资讯周刊. 2007年9月17日 [2007年10月17日]. (原始内容存档于2011年4月8日) (英语).
- ^ Storm Worm offers coal for Christmas. Security Focus. 2007年12月26日 [2007年12月27日]. (原始内容存档于2011年6月10日) (英语).
- ^ 35.0 35.1 Tim Wilson. Researchers Fear Reprisals From Storm. Dark Reading. 2007年10月29日 [2007年12月28日] (英语).[失效链接]
- ^ 36.0 36.1 Vaas, Lisa. Storm Worm Botnet Lobotomizing Anti-Virus Programs. EWeek. 2007年10月24日 [2007年12月28日]. (原始内容存档于2020年8月22日) (英语).
- ^ Paul, Ryan. Spammers launch denial of service attacks against antispam sites. Ars Technica News. 2007年9月12日 [2007年10月17日]. (原始内容存档于2007年10月12日) (英语).
- ^ Farrell, Nick. Republicans infect voters with Storm Trojan. "The Inquirer". 2007年9月17日 [2007年10月17日]. (原始内容存档于2016年1月21日) (英语).
- ^ Keizer, Gregg. Hacked GOP Site Infects Visitors with Malware. Computerworld. 2007年9月14日 [2007年10月17日]. (原始内容存档于2007年10月15日) (英语).
- ^ Tung, Liam. 'Storm worm' exploits YouTube. CNET News. 2007年10月10日 [2007年10月17日]. (原始内容存档于2020年8月22日) (英语).
- ^ 趨勢科技提醒:「惡意威脅遍佈網路,加強閘道端防毒以策安全」. 趋势科技. 2007-11-13 [2009-01-29]. (原始内容存档于2008-10-12) (中文(繁体)).
- ^ Keizer, Gregg. Storm Trojan flaunts crazy cat to build out botnet. ComputerWorld. 2007年10月12日 [2007年10月17日]. (原始内容存档于2007年10月13日) (英语).
- ^ 43.0 43.1 Keizer, Gregg. Storm Botnet Spreading Malware Through GeoCities. PC World. 2007年11月16日 [2007年12月27日]. (原始内容存档于2007年11月21日).
- ^ McMillan, Robert. Storm Worm Tempts With Christmas Strip Show. PC World. 2007年12月24日 [2007年12月27日]. (原始内容存档于2007年12月27日).
- ^ Hruska, Joel. Storm Worm delivering coal this Christmas. Ars Technica. 2007年12月25日 [2007年12月27日]. (原始内容存档于2007年12月27日) (英语).
- ^ Keizer, Gregg. Storm Botnet Drops Strippers Lure, Switches to New Year's. PC World. 2007年12月26日 [2007年12月27日]. (原始内容存档于2007年12月27日) (英语).
- ^ 47.0 47.1 Rogers, Jack. Fortinet: Storm Worm botnet used to mount phishing attacks on Barclays, Halifax banks. SC Magazine. 2008年1月8日 [2008年1月9日]. (原始内容存档于2008年1月11日).
- ^ 48.0 48.1 Stewart, Joe. The Changing Storm. Secure Works. 2007年10月15日 [2007年10月17日]. (原始内容存档于2008年9月26日) (英语).
- ^ Francia, Ruben. Researcher: Storm Worm botnet up for sale. Tech.Blorge. 2007年10月16日 [2007年10月17日]. (原始内容存档于2007年10月16日) (英语).
- ^ Espiner, Tom. Security expert: Storm botnet 'services' could be sold. CNet news. 2007年10月16日 [2007年10月17日]. (原始内容存档于2008年5月17日) (英语).
- ^ Vaas, Lisa. Storm Botnet Kits Loom on the Horizon. EWeek. 2007年10月16日 [2007年10月17日]. (原始内容存档于2020年8月22日) (英语).
- ^ Goodin, Dan. The balkanization of Storm Worm botnets. The Register. 2007年10月15日 [2007年10月17日]. (原始内容存档于2008年5月16日) (英语).
- ^ Keizer, Gregg. Spammers pump up volume with major spoken scam slam. Computerworld. 2007年10月18日 [2007年10月19日]. (原始内容存档于2007年3月2日) (英语).
- ^ Prince, Brian. MP3 Spam Scam Hits In-boxes. EWeek. 2007年10月18日 [2007年10月19日]. (原始内容存档于2020年8月22日) (英语).
- ^ 55.0 55.1 Vamosi, Robert. Phishers now leasing the Storm worm botnet. CNET News. 2008年1月9日 [2008年5月11日]. (原始内容存档于2008年11月22日) (英语).
- ^ Beskerming, Sûnnet. Guessing at compromised host number. The Register. 2007年9月25日 [2007年10月17日]. (原始内容存档于2007年10月12日) (英语).
- ^ Naraine, Ryan. Storm Worm botnet numbers, via Microsoft. ZDNet. 2007年9月24日 [2007年10月17日]. (原始内容存档于2007年10月24日) (英语).
- ^ Krebs, Brian. Just How Bad Is the Storm Worm?. 华盛顿邮报. 2007年10月1日 [2007年10月17日]. (原始内容存档于2011年5月23日) (英语).
- ^ Chapman, Matt. Storm Worm may have blown itself out. VNUnet. 2007年10月22日 [2007年12月26日]. (原始内容存档于2007年12月20日).
- ^ McMillan, Robert. Storm Worm Now Just a Squall. PC World. 2007年10月21日 [2007年12月26日]. (原始内容存档于2008年1月3日).
- ^ Vassou, Andrea-Marie. Cyber war to escalate in 2008. Computer Active. 2007年11月29日 [2007年12月27日]. (原始内容存档于2008年1月2日).
- ^ Messmer, Ellen. Attackers poised to exploit Olympics, presidential elections in 2008. Network World. 2007年12月11日 [2007年12月27日]. (原始内容存档于2007年12月27日).
- ^ New botnet as powerful as Storm worm revealed. Secure Computing. 2007年11月29日 [2007年12月27日] (英语).[失效链接]
- ^ Rogers, Jack. Cisco reports Storm botnet may be sublet to criminals in 2008 as holiday-themed attacks proliferate. SC Magazine. 2007年12月26日 [2007年12月27日]. (原始内容存档于2007年12月28日).
- ^ Dunn, John E. Nugache – the next Storm?. Tech World. 2008年1月7日 [2008年1月7日]. (原始内容存档于2008年1月8日).
- ^ Utter, David. Storm Botnet Triples In Size. Security Pro News. 2008年1月4日 [2008年1月7日]. (原始内容存档于2008年1月23日) (英语).
- ^ "One fifth of all spam springs from Storm botnet" (PDF). MessageLabs Intelligence: Q1 / March 2008 (MessageLabs). 2008年4月1日. (原始内容 (PDF)存档于2008年5月17日) (英语).