به نقل از سايت سيمانتك ، نويسندة Storm worm كه به Trojan. Peacomm معروف است، ابتكاري عجيب براي تغيير Componentها به خرج دادتا بدين طريق دوام و انتشار اين Storm Worm را گسترش دهد. اين هفته ما شاهد آخرين تجسم عيني اين خطر به نام Trojan.Peacommبوديم. اين Worm خود را به صورت فايل Halloween.exe و يا song.exe نشان مي دهد. چيزيكه در مورد اين گونة جديد از Storm Worm نظر را جلب مي كند اين است كه نويسندة آن تعدادي از عملكردهاياصلي كه در گونة قبلي يعني Trojan.Peacomm حضور داشت را حذف كرده است. علي الخصوص كه اين Worm ديگر اعمال زير را انجام نمي دهد:
1- آلوده كردن ساير درايورهاي سيستم: گونةپيشين اين كرم، درايورهايي نظير Tcpip.sys و kbdclass.sys را نيز آلوده مي كرد. اين همان ويژگي پنهاني بودن كرم است تا با سيستم عامل و بدون بارگذاري [loading] در windows registry شروع به فعاليت كند.
2- تزريق كردن خود به فرايندهايي نظير عملكرد Explorer.exe و Services.exeاين كرم جديد كمتر به بخشهايصحيحو اصل مربوط به سيستم عامل وابسته بوده و اكنون داراي componentهاي ويژه براي انجام فعاليت خود مي باشد. درايوهاي متناظر با گونة قبلي اين Worm، noskrnl.sys، همكاري نزديكي با user mode مربوط به noskrnl.exe داشته تا بدين طريق همان قابليت پنهاني بودن (پنهاني خزيدن stealth-like) را ايجاد كند
بنابراين، شما ممكن است بپرسيد كه چرا نويسندگان storm، تاكتيك خود را تغيير داده اند؟ برچه علت آنها ساختار بنيادين storm worm را تحريف كردند؟
گذشته از اين حقيقت كه اينعمل بي رحمي خاص نويسندگانش را نشان مي دهد (ازطريق حذف قسمتهاي كند برنامه) تعدادي علل قابل قبول نيز براي پاسخگويي به اين مطلب وجود دارد.
تغييرات انجام شده نشان مي دهد كه نويسندگان اين storm worm، مي خواستند از ميزان وابستگي خارجي به بخش هاي صحيح و اصلي بكاهند.
رشد پايدار storm worm مي تواند بيانگر اين باشد كه ما درآينده نيز شاهد گسترش هر روزة نرخ آلودگي ها خواهيم بود. بنابراين برخلاف ساير پديده هاي طبيعي، اين storm worm به اين آشفتگي ادامه داده و به نظر نمي رسد كه به همين زودي از گردونه خارج شود.
بر حسب آخرين گونة اين worm، holloween.exe و sony.exe ، به عنوان Trojan.packed.13 كشف شده و همچنين درايور اين Worm در سطوح پايين تر به نام Trojan.Peacomm.D شناخته و كشف مي گردند.
