A Storm Worm 2007 januárjában kezdte meg hódító útját. A kártékony program készítői a felhasználók megtévesztésével igyekeztek a lehető legszélesebb körben terjeszteni a trójait. Kezdetben a 2007 elején tomboló európai viharok emlegetésével próbálták felkelteni a felhasználók figyelmét. Ez olyan "jól" sikerült számukra, hogy februárban a Storm Worm már az összes vírusfertőzés nyolc százalékáért volt felelőssé tehető. Az ártalmas program a fertőzött számítógépeken elsősorban spamküldéssel foglalatoskodott, majd egy botnet kiépítésébe fogott. Egyes felmérések szerint 2007 szeptemberére már egy egymillió PC-t magában foglaló hálózatot létesített. Ennek a botnetnek az volt az egyik legérdekesebb jellemzője, hogy a kártékony hálózat vezérlését nem néhány központi szerver végezte, hanem decentralizált, P2P technikák segítségével működött, ami jelentősen megnehezítette a felderítését és a károk csökkentését.
Ahogy telt-múlt az idő, a Storm Worm egyre inkább háttérbe szorult, és keveset hallatott magáról. Az egyik legutóbbi felbukkanása 2008. április 1-jére esett, de ekkor már nem tudott akkora fejtörést okozni, mint korábban. Az elmúlt napokban aztán a trójai ismét színre lépett. A Shadowserver Foundation szakemberei ugyanis egy újabb variánsát fülelték le. Amikor kiderült, hogy a Storm Worm egy újabb változatáról van szó, sokan felkapták a fejüket, de a vizsgálatok azt támasztották alá, hogy ezúttal nem kell tartani olyan mértékű támadássorozattól, mint 2007 elején. Természetesen ez nem azt jelenti, hogy nem is kell résen lenni.
A Storm Worm legújabb variánsa a víruskutatók szerint nem egy túl jól megtervezett példány. Alapvetően a régről már jól ismert kódokra épül, de azért tartogat néhány újdonságot. Ezek közül a legfontosabb, hogy már nem P2P módszerekkel dolgozik, hanem HTTP-n keresztül kommunikál. Fontos megjegyezni, hogy továbbra is képes parancsokat fogadni, de azokat mindössze egyetlen szerveren keresztül kapja. Steven Adair, a Shadowserver Foundation munkatársa elmondta, hogy a kiszolgálót már sikerült lenyomozniuk, és kiderült, hogy az egy holland szolgáltatónál működik. Az érintett internet szolgáltatót már korábban értesítették a veszélyekről. A vizsgálatok szerint a Storm Worm legfiatalabb képviselője elsősorban kártékony weboldalakról kerülhet rá a kiszemelt rendszerekre, de a terjedésében szoftveres sérülékenységek is közrejátszhatnak.
Mivel az új Storm Worm működése egyetlen IP-címtől függ, és nem alkalmaz semmiféle trükköt a domain nevek kapcsán sem, ezért a Shadowserver Foundation munkatársai szerint elvesztette a rugalmasságát, és nem lesz hosszú életű. Ennek ellenére a naprakész vírusvédelemről gondoskodni kell, hiszen a trójai már eddig is számos meglepetést okozott.
A cikk a Computerworld biztonság rovatában jelent meg.
