Библиотека Интернет Индустрии I2R.ru

Хотя необычный трафик наблюдается в интернете уже около месяца, первые версии о его возможной природе появились только сейчас. В частности, компания Internet Security Systems выпустила бюллетень, в котором источником странного кода называет троянскую программу, которую в компании назвали Stumbler ("сбивающий с толку"). Целью Stumbler является своеобразная разведка - поиск в интернете серверов и служб, потенциально уязвимых для атаки. В отличие от известных программ такого рода Stumbler очень трудно обнаружить и отследить, поскольку авторы программы прибегли к различным уловкам для маскировки своих действий, в частности, подделке IP-адреса.

По данным Internet Security Systems, программа пытается найти уязвимые серверы и службы путем отправки по случайному адресу пакета TCP SYN. Поскольку обратный адрес исходного запроса подделан, то казалось бы, ответ сервера и информацию о его уязвимостях получить невозможно. Однако в Internet Security Systems полагают, что Stumbler имеет распределенную структуру и использует сниффер пакетов, который настраивается на случайные IP-адреса, пытаясь перехватить ответы серверов. Собранную информацию программа передает на адрес 12.108.65.76, порт 22. В целом же, Stumbler является относительно безопасной экспериментальной программой, которая не умеет самостоятельно распространяться по Сети или заражать другие компьютеры. Кроме того, в программе имеются целый ряд ошибок.

До Internet Security Systems свои предположения о природе странного трафика высказала компания Intrusec. Она также связала возникновение трафика с деятельностью экспериментального сетевого червя или трояна. Однако, по данным Intrusec, идентифицированная сотрудниками компании программа является лишь одним из источников странного трафика. Описание Intrusec достаточно близко к сведениям Internet Security Systems, однако не вполне совпадает с ним. В частности, в Intrusec не исключают того, что троян может распространяться самостоятельно и сообщают, что пока его активность замечена лишь на компьютерах под управлением Linux.

В Intrusec также считают программу, генерирующую данный трафик, экспериментальной. Она является своеобразным доказательством в пользу возможности создания маскирующегося трояна. Не исключено, что в будущем наработки авторов программы лягут в основу действительно опасных программ.