最新风暴蠕虫变种对安全造成的威胁不大

于2007年首次出现的风暴蠕虫能够感染计算机，使电子邮件收件箱和邮件服务器充斥着垃圾邮件。这种风暴蠕虫近期又重新出现，但第一时间阻止风暴蠕虫的研究人员表示，最新的变种可能不会构成重大威胁。

蜜网项目研究所的恶意软件分析师Felix Leder指出，新的href="hxxps://www.honeynet.org/node/539">风暴变种中包含错误，使其更容易破解。Leder是审查原暴风蠕虫组织的一员，他找到了破解新变种的方法，他说新的变种中包含有大约三分之二的原风暴代码。

Leder在SearchSecurity.com网站的采访中说道，“到目前为止，它看起来并没有那些HTTP僵尸网络危险。由于旧的协议问题，它没有Conficker、Zeus，或其他蠕虫危险。 ”

Leder说，恶意软件研究人员仍在努力确定最新变种的大小。新的蠕虫复制了旧的风暴蠕虫中几乎所有的代码，只做了很小一部分的调整。它的新作者用HTTP方法来替代之前的点对点命令和控制通信方法。最新的风暴变种设计是用来接收来自荷兰的命令和控制服务器的命令的。

Leder说，新变种舍弃了点对点方法，这使它更难从企业网络合法流量中发现。一个研究团队，其中包括Leder、Tillmann Werner和Mark Schloesser，分析了早期的代码库，并开发了一个能有效清除整个原风暴僵尸网络的工具。

Leder解释说，“对于新变种，我们并不感到意外。事实上，他们重新使用旧协议，所以具有旧协议存在的所有问题。新的暴风变种可以很容易被HTTP用户代理的输入错误发现。”

Leder说，目前还不清楚新的恶意软件是否有新的关系或是由同一恶意软件编写者所修改。恶意软件作者在不断改变他们的战术，迫使安全厂商更新防垃圾邮件引擎来检测各种形式的垃圾邮件。风暴是第一个在垃圾邮件中产生PDF文件的蠕虫，这样可以躲避反病毒软件的检测，欺骗用户相信它是一个商业信函电子邮件。

独立僵尸网络研究机构(Shadowserver基金会)的安全专家Steven Adair表示，他们的honeypot在4月13日收集了第一个恶意软件变种。Adair说，新的风暴蠕虫病毒是通过路过式下载传播的，其他攻击通常由自动攻击工具包执行。

Adair说，“它使用一个单一的IP地址，这使它更容易被撤下，现在我可以说这是一个相当低的威胁，因为它不是很普遍。它不使用P2P基础设施，也不使用快速通量DNS技巧。”

CA公司研究工程师Ricardo Robielos III在博客中写道，新的风暴蠕虫病毒的代码与旧的类似，它包含一个发送垃圾邮件的电子邮件模板列表。新的风暴蠕虫发出大量的制药和成人约会垃圾邮件。

Robielos写道，“这个Win32/Pecoan(又称为Storm、Nuwar、Zhelatin、Dorf)变种目前处于活跃状态，正在向目标收件人发出大量的垃圾邮件。该蠕虫的作者也利用许多免费的URL缩短服务来伪装成URL重定向链接到垃圾邮件正文。”