Tí, čo čítajú náš blog pravidelnejšie zaručene poznajú Storm botnet. Ten sa stal novodobou malware legendou. Jeho veľmi zložité a pomalé odhaľovanie prinieslo na svetlo sveta šokujúce informácie. Dnes je tu však zákernejší malware, ktorý je niekoľkokrát nebezpečnejší, ako Storm, či Nugache.

MayDay (po slovensky signál o pomoc) je rovnako, ako predošlé dva spomínané botnety založený na technológii P2P. MayDay je však opradený rúškou tajomstva ďaleko viac, ako spomínaný Storm. Momentálne existuje o MayDay len málo informácií. Len dve spoločnosti zaoberajúce sa študovaním novodobého malware vo svete sa s MayDay stretli a získali tak neveľké množstvo poznatkov o jeho komunikácií, či šírení. Dôvodom je, že červ infiltruje veľké spoločnosti, univerzity a zákazníkov ISP v USA. Viac než 96% infikovaných počítačov sa nachádza na území USA a približne 2% na území Kanady, tvrdí spoločnosť Damballa, ktorá monitoruje a skúma praktiky botnetov vo svete.

Podľa viceprezidenta technológii spoločnosti Damballa, Tripaa Coxa, využíva MayDay kombináciu niekoľkých techník pre komunikáciu s infikovanými počítačmi vrátane odcudzenia nastavení proxy v prehliadači. Práve táto schopnosť umožňuje vírusu MayDay využívať pre komunikáciu zabezpečený podnikový Web proxy, cez ktorý si vírus sťahuje updaty a prijíma príkazy od útočníka. Táto skutočnosť potvrdzuje podozrenie spoločnosti Damballa, že MayDay bol vytvorený primárne pre infikovanie veľkých spoločností, univerzít, alebo akýchkoľvek veľkých sietí, u ktorých je bežnou praktikou používať zabezpečené Web proxy. Spoločnosti využívajú takéto proxy pre lepšiu kontrolu praktík svojich zamestnancov na internete a zároveň chrániť spoločnosť pred vniknutím škodlivých kódov atď.

Botnet taktiež využíva už spomínanú P2P technológiu pre vzájomnú komunikáciu, vrátane ICMP (the Internet Control Message Protocol). Celá komunikácia je narozdiel od ostatných botnetov šifrovaná a nie je možné v rozumnom čase získať prehľad o dátach zasielaných v rámci botnetu. Podľa Coxa bol tento vírus dokonale naprogramovaný pre úspešné fungovanie na akokoľvek zabezpečenej sieti. Práve schopnosť prispôsobiť sa akémukoľvek zabezpečeniu a možnosť využívať ktorýkoľvek z protokolov pre komunikáciu s útočníkom z neho robí najnebezpečnejší malware dneška.

MayDay dodnes nebol úspešne “odchytený” a identifikovaný žiadnou anti-vírusovou spoločnosťou. Cox si tento stav sám nevie vysvetliť a podľa jeho slov je pravdepodobným dôvodom brilantné zostrojenie vírusu a jeho vysoká schopnosť maskovania sa.

Spoločnosť Damballa sa stále snaží identifikovať proces šírenia tohoto zákerného vírusu. Jednou z pravdepodobných ciest je infikované pdf, ktoré využíva chybu, ktorá bola ošetrená až včera. Väčšinu spoločností zaoberajúcich sa študovaním a ochranou proti šíriacim sa vírusom tvoriacich botnet dnes zamestnáva botnet s názvom Mega-D, o ktorom sme vás už informovali. Mega-D sa šíri za pomoci spamu, v ktorom ponúka tabletky pre zlepšenie sexuálnych zážitkov.

Podľa Glena Myersa zo spoločnosti Marshal je dosť možné, že tvorcovia Storm botnetu sa poučili zo svojich predošlých chýb a vytvorili novú podsieť s novým vírusom, a takto sa pripravujú na odstavenie starej siete a príchod novej v ešte väčšej sile, ako ich prvotný výtvor Storm. Sú to však len dohady. Myers taktiež poprel prepojenie tvorcov botnetov Storm a Mega-D. Podľa jeho zistení na týchto botnetoch pracujú dve nezávislé skupiny. Rovnaký názor zastáva aj spoločnosť Damballa. Podľa Coxa ich pracovníci neodhalili žiadne prepojenie medzi týmito dvomi skupinami (čo však nemusí znamenať, že nejde o rovnakú skupinu). Jedným dychom však dodáva, že tieto tri botnety môžu zasielať denne stovky miliónov emailov a byť tak zodpovedné za viac ako 50% svetového spamu.

Podľa Coxa nie vždy záleží na veľkosti botnetu. Dobrým príkladom je spomínaný MayDay, ktorý nedosahuje veľkosti stormu, no napriek tomu môže spôsobiť omnoho väčšiu škodu práve kvôli jeho sofistikovanému prevedeniu. MayDay je unikátny malware práve pre jeho fantastickú schopnosť prispôsobiť sieti, v ktorej pôsobí. MayDay je víťazom na poli, kde dodnes žiadny iný malware neprežil. Práve tento fakt z neho robí najnebezpečnejší malware všetkých čias. Už len cena odcudzených informácií z akejkoľvek spoločnosti sa môže vyšplhať na milióny a to nehovoriac o dopadu na poškodenú spoločnosť, v prípade ich zneužitia.

MayDay je dokonale uspôsobený pre posielanie spamu a zasielanie citlivých informácií na kontrolné servery. Podľa Coxa bude po MayDay botnete veľký dopyt. Jeho stálosť a utajenie ho predurčuje na vytváranie dlhodobých ziskov svojím majiteľom.

Ak bol Storm kráľom Malware 2.0, tak ho MayDay rýchlo zosadil z kráľovského trónu. Jeho dokonalé prevedenie, obrovská schopnosť prispôsobovať sa akýmkoľvek podmienkam a šifrovaná komunikácia ho korunovali za nového kráľa Malware. V dnešnej dobe sa denne môžeme dočítať, že ochrana citlivých informácii by mala byť prvoradá. Ako môžete vidieť, akékoľvek zabezpečenie vám nepomôže, ak budú tvorcovia malware o tri kroky napred pred anti-vírusovými spoločnosťami.