Начиная с середины мая, специалисты по компьютерной безопасности пытаются определить источник странного трафика, передающегося по Интернету. Как сообщает КомпьюЛента, единственной отличительной чертой этого кода является размер окна, который в протоколе TCP показывает, какое количество данных может быть отправлено без ожидания подтверждения со стороны получателя. В случае неизвестного трафика, регистрируемого в последнее время с завидной регулярностью, размер окна составляет 55808 байт. Странный код передается на случайные IP-адреса и случайные порты, источник же трафика замаскирован, и в качестве его источника указывается несуществующий IP-адрес.

Хотя необычный трафик наблюдается в интернете уже около месяца, первые версии о его возможной природе появились только сейчас. В частности, компания Internet Security Systems выпустила бюллетень, в котором источником странного кода называет троянскую программу, которую в компании назвали Stumbler ("сбивающий с толку"). По данным Internet Security Systems, программа пытается найти уязвимые серверы и службы путем отправки по случайному адресу пакета TCP SYN. Поскольку обратный адрес исходного запроса подделан, то казалось бы, ответ сервера и информацию о его уязвимостях получить невозможно. Однако в Internet Security Systems полагают, что Stumbler имеет распределенную структуру и использует сниффер пакетов, который настраивается на случайные IP-адреса, пытаясь перехватить ответы серверов. Собранную информацию программа передает на адрес 12.108.65.76, порт 22.

В целом же, Stumbler является относительно безопасной экспериментальной программой, которая не умеет самостоятельно распространяться по Сети или заражать другие компьютеры. Кроме того, в программе имеются целый ряд ошибок.

Свои предположения о природе странного трафика высказала компания Intrusec. Она также связала возникновение трафика с деятельностью экспериментального сетевого червя или трояна. Однако, по данным Intrusec, идентифицированная сотрудниками компании программа является лишь одним из источников странного трафика. Описание Intrusec достаточно близко к сведениям Internet Security Systems, однако не вполне совпадает с ним. В частности, в Intrusec не исключают того, что троян может распространяться самостоятельно и сообщают, что пока его активность замечена лишь на компьютерах под управлением Linux.

В Intrusec также считают программу, генерирующую данный трафик, экспериментальной. Она является своеобразным доказательством в пользу возможности создания маскирующегося трояна. Не исключено, что в будущем наработки авторов программы лягут в основу действительно опасных программ.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам