Een groep beveiligingsexperts heeft een techniek gevonden waarbij de laatste overblijfselen van de ooit beruchte Storm-worm voor eens en altijd verwijderd kunnen worden. Het idee achter de techniek is dat het controlesysteem van het botnet tegen zichzelf wordt ingezet.

De Storm-worm werd op 19 januari 2007 gelanceerd en werd in eerste instantie verstuurd als bijlage bij een mailtje over de hevige stormen die rond die tijd Europa teisterden. Slechts drie dagen later was de Storm-worm al verantwoordelijk voor acht procent van alle infecties. Later werd de worm ook verpakt als digitale wenskaarten die met spammails werden meegestuurd.

Als een Storm-worm-bijlage wordt geopend, installeert het de wincom32-service en downloadt het eventueel aanvullende trojans. Daarna maakt de computer in kwestie deel uit van het botnetwerk van de Storm Worm en kunnen de botnetbeheerders de computer op afstand bedienen via een zogenaamde control server. Als de geïnfecteerde computer geen verbinding kan maken met de control server probeert de Worm andere control servers te zoeken middels peer-to-peer-technieken (P2P).

In de hoogtijdagen eind 2007 bestond het botnet van de Storm Worm volgens schattingen een miljoen tot tien miljoen computers, terwijl concurrerende botnets het over het algemeen met vijfduizend tot veertigduizend computers moeten doen. Diverse anti-viruspakketten werden echter snel bestand gemaakt tegen de Storm-worm en mede dankzij Microsofts Malicious Software Removal Tool werden vele geïnfecteerde computers opgeschoond. Volgens recente schattingen bestaat het botnet echter nog altijd uit zo’n 100.000 computers. In de loop van vorig jaar nam het aantal spammailtjes met de worm overigens verder af.

Maar volgens onderzoekers Georg Wicherski, Tillmann Werner, Felix Leder en Mark Schlösser van de universiteiten van Bonn en Aken had de Storm-worm veel effectiever en eerder bestreden kunnen worden. In plaats van het gedrag van een geïnfecteerde computer te analyseren, bekeken de onderzoekers de Storm-worm byte voor byte en keken ze voornamelijk naar de manier waarop de worm communiceert met met de control servers. Vervolgens ontwikkelden ze een eigen worm die verbinding kan maken met het botnetwerk. Toen ze die inzetten bleek dat de servers de zelfgemaakte client als veilig classificeerden en opnamen in het netwerk. Opmerkelijk genoeg was het daardoor ook mogelijk om de control servers instructies te geven.

Vervolgens was het voor de onderzoekers een koud kunstje om ervoor te zorgen dat alle geïnfecteerde computers omgeleid werden naar een server die de onderzoekers hadden opgezet, die de geïnfecteerde computer vervolgens de melding geeft om een programma te downloaden dat de Storm-worm opruimt. De onderzoekers schreven zelf een programma, genaamd Stormfucker, dat de Storm-worm kan verwijderen, maar zetten die uiteindelijk niet in, omdat het ongevraagd installeren en aanbieden van software in sommige landen illegaal is en er de mogelijkheid bestond dat computergebruikers de onderzoekers zouden aanklagen als er bij het opschonen iets fout zou gaan.

De resultaten hebben de onderzoekers echter wel veel inzicht gegeven in de manier waarop botnets werken, waardoor er in de toekomst mogelijk effectiever opgetreden kan worden tegen dit soort malware.