風暴殭屍網路

風暴殭屍網路或風暴蠕蟲殭屍網路，是一種受遠端控制的殭屍電腦（機器人網路）組成的網路。該網路是由暴風蠕蟲（一種透過垃圾電子郵件散播的木馬）连接而成的。研究預測截至2007年9月為止，風暴殭屍網路至少藏身於1百萬到5千萬部電腦系統裡某處默默執行^[1][2]。其他消息來源則折衷風暴殭屍網路的大小約為25萬到1百萬部電腦。更保守一點的估計，一位網路安全分析家宣稱他曾寫過一個軟體「爬」過殭屍網路，以此預測風暴殭屍網路控制了約16萬部受感染的電腦^[3]。風暴殭屍網路首度於2007年1月左右發現，當時風暴蠕蟲約佔所有運行於微軟視窗平台電腦流氓軟體的8%^[4]。

來自殭屍網路垃圾郵件的典型生命周期：
（1）垃圾郵件網站，（2）垃圾郵件，（3）垃圾郵件軟體，（4）被感染的電腦，（5）病毒或木馬，（6）信件伺服器，（7）用戶，（8）網路流量

風暴殭屍網路已被用於各式各樣的犯罪行為。目前它的控制者以及風暴蠕蟲的作者仍未被查出。風暴殭屍網路已展示出防禦性的行為，顯示它的控制者正積極的保護殭屍網路，以避免種種追蹤或者終止該程式的嘗試。殭屍網路會針對某些試圖偵查它們的保全公司或者研究員進行攻擊^[5]。保全專家喬·史都華（Joe Stewart）透露在2007年晚期，殭屍網路操作者開始進一步的分散其運作，可能計畫將風暴殭屍網路部分賣給其他的操作者。同時期某些報告指出風暴殭屍網路正在收縮，然而許多保全專家報告說他們認為殭屍網路仍舊是線上主要保全威脅，而且考量殭屍網路身為銀行詐欺、個人信息竊取、以及其他電子犯罪方面的共犯，美國聯邦調查局仍將其列為網路保全重點對象^[6][7]。

2007年9月的報告指出殭屍網路已強大到足以將整個國家從互聯網上隔離。根據預測，它每秒執行指令的速度足以超過某些世界頂尖的超級電腦^[8]。然而，這並不是完全精確的比較。根據保全分析師詹姆士·透納（James Turner）說把殭屍網路與超級電腦拿來比較，就像拿狙擊手組成的軍團與核武器相比較一樣^[9]。英國保全公司馬歇爾（Marshal）的布萊德雷·安斯底斯（Bradly Anstis）說：「更值得擔憂的事是頻寬。只要算一下4百萬倍的標準ADSL連線。那是很大的頻寬，這讓我相當擔憂。有像那樣的資源在他們手上—分散在世界各地，高度密佈於很多國家內—意味著他們可以對許多網頁寄存服務商发起非常有效的分散式阻断服务攻击。」^[9]

起源

風暴殭屍網路首度在2007年1月於互聯網被偵測到。它與其蠕蟲之所以得其名是因為一開始它用來感染宿主的email都有一行與風暴相關的標題，像「風暴侵襲歐洲，230人死亡。」^[10]後期耸人听闻的標題如：「中國導彈擊落美國飛機。」以及「美國國務卿康多莉扎·賴斯踹了德國總理安格拉·默克爾一腳。」^[1][11][12]信息安全專家們懷疑某些知名在逃的垃圾郵件大王，包括李歐·库馬耶夫（Leo Kuvayev），可能參與或控制風暴殭屍網路的運作^[13]。科技專欄作家丹尼爾·汀南（Daniel Tynan），在他一篇以羅伯特·克靈居禮（Robert X. Cringely）作為筆名的著作寫道：很大部分風暴殭屍網路之所以存在的過失得歸因於微軟與Adobe Systems^[14]。其他研究指出，風暴殭屍網路取得犧牲品的主要方法是透過經常變換其社會工程體系來蠱惑用戶^[15]。根據派崔克·朗諾（Patrick Runald）的研究，風暴殭屍網路有強烈的美國事務焦點，因此多半在美國國內有幹員在其組織中工作並支持其運作^[16]。不過，某些專家相信風暴殭屍網路控制者群是俄羅斯人，特別是俄羅斯商業網路涉有重嫌。其根據是風暴蠕虫軟體提到了對在莫斯科的卡巴斯基公司的憎恨，並且文件裡含括了個俄羅斯的單字「Buldozhka」，即「鬥牛犬」之意^[17]。

組成

風暴殭屍網路是由Windows作為其操作系統的電腦組成^[18]。一旦受到感染，機器就變成了殭屍電腦。殭屍電腦会在電腦擁有者不知情或未允許下逕自自動進行多種工作，包括任何從取得用戶資料、攻擊網站、到轉發傳染電子郵件的種種事務。預估約5千到6千部電腦是專門做透過電子郵件夾帶感染過的附件來繁殖擴散蠕蟲這件事。截至2007年9月，殭屍網路送出了12億條病毒信息，其中光在2007年8月22日的單日紀錄就達到5千7百萬條^[18]。根據電腦法學鑑識家勞倫斯·鮑德溫（Lawrence Baldwin）所言：「總合來說，暴風殭屍網路每日送出約10億條信息。它可輕易的再多加兩個零。」^[1]勾引受害者的方法之一是感染免費音樂網站，像提供如碧昂絲·諾利斯、凱莉·克萊森、蕾哈娜、老鷹樂隊、及一些當地知名藝人音樂免費下載的網站^[19]。而基於數位簽章為主的偵測（一種大部分電腦系統對抗病毒與流氓軟體感染主要防禦手段）因受到大量風暴蠕蟲變種的攻擊而阻礙其效能^[20]。

控制殭屍網路與風暴蠕蟲擴散的後台伺服器群自動對它們的擴散感染軟體以一小時兩次的速度重新編碼，作為新的傳播媒介。這種手段使得防毒軟體商終止病毒擴散及運作較為棘手。另外，控制殭屍網路的遠端伺服器位置藏在一種固定變換DNS技術，叫做「快速通量」（fast flux）之後，^[10]使發現並攔截其宿主站與郵件主機更為困難。簡單來說，這群機器名稱與位置常常輪換，往往是幾分鐘就換一次^[21]。風暴殭屍網路操作者透過點對點技術控制系統，讓外部查殺該系統更加不易達成^[22][23]。在風暴殭屍網路裡並沒有中央「命令控制點」可以停止該網路^[24]。殭屍網路也利用加密流傳播^[25]。其感染個人電腦的辦法通常不外乎透過操弄使人們相信並下載夾帶病毒電子郵件的幾種實做裡打轉。其中一個簡單的例子，殭屍網路控制者利用美國國家美式足球聯盟開賽週末，送出電子郵件謊稱提供「足球賽事追蹤程式」，事實上它除了感染用戶電腦以外什麼事都沒做^[26][27]。據MessageLabs的首席反垃圾郵件技術員麥特·斯爾金（Matt Sergeant）說：「以計算能力論，超級電腦終究不堪殭屍網路一擊。如果你把所有500部頂尖的超級電腦能力加起來，超級電腦群只能與兩百萬部殭屍網路機器匹敵。這些罪犯擁有可使用如此計算能力實在很可怕，然而我們可以反擊的部分實在有限。」^[18]保全專家們預估現在使用的只有全部風暴殭屍網路總容量與能力的10%到20%^[28]。

保全專家喬·史都華利用隔離考察中間系統被感染至加入殭屍網路的方式進一步揭露其過程：嘗試加入殭屍網路的任務是由參與對話中的電腦系統逐步執行一系列的EXE檔案。通常，這些檔案被按照順序命名，例如從game0.exe到game5.exe，或者類似檔名。它隨後繼續輪流啟動執行檔。這些執行檔一般進行的任務如下^[29]：

1. game0.exe：後門 / 下載器
2. game1.exe：SMTP轉發
3. game2.exe：Email地址盜號器
4. game3.exe：Email病毒擴散器
5. game4.exe：分散式阻斷服務攻擊（DDos）工具
6. game5.exe：更新過的風暴蠕蟲拷貝

在每個階段裡，中間跳板系統將連上殭屍網路。快速通量DNS技術使得追蹤這個過程異常艱難。這代碼是從視窗系統%windir%\system32\wincom32.sys下透過系統內核rootkit執行，並且所有連回殭屍網路的連線都是透過修改過的eDonkey/Overnet通訊協定達成^[29]。

方法論

風暴殭屍網路以及它的變種採用廣泛的攻擊方法，因而相對多樣的的防禦步驟亦同時存在^[30][31]。風暴殭屍網路不但受到其背後組織監視並自我防衛，它也會攻擊那些提供線上掃描被風暴病毒感染電腦的主機^[32]。殭屍網路會以拒絕訪問反擊以防衛它自己，藉此保持其內部一貫性^[33]。在過去某個時段，以前用來散播殭屍網路的風暴蠕蟲曾企圖在互聯網上釋放上百上千種它自己的版本，打算以一次密集性攻擊來壓垮防毒反流氓軟體保全公司的防衛線^[34]。根據IBM保全研究員約書亞·柯曼（Joshua Corman）指出：「這是我記憶中有史以來第一次看過研究員真的害怕去調查這個漏洞。」^[35]研究員們仍舊不確定殭屍網路的防禦及反擊是由程式自動啟動的，或是該系統操作者手動執行的^[35]。「如果你試著給它綁個除錯器，或者對中繼站回報的站點進行查詢，殭屍網路会馬上发现並立刻懲罰你。在SecureWorks事件後，殭屍網路中一小塊直接DDoS某研究員並把他拿下網。每一次我聽到某個調查站試著要查這檔事，他們會自動被懲罰。它知道它自己被調查，並懲罰他們。它進行反擊。」柯曼補充道^[36]。

Spameater.com以及其他站像419eater.com與Artists Against 419，都是對抗419電子垃圾郵件詐欺的網站，他們都曾經歷過DDoS攻擊，造成被攻擊站點暫時完全無法運作。DDoS攻擊包括進行大量的同時網路請求到這些或者其他目標的IP位址群，造成伺服器負載過荷並阻塞主機回應請求^[37]。其他反垃圾反詐欺的集團，如Spamhaus Project，也遭受到攻擊。Artist Against 419網站網管表示該站倒站前伺服器達到每小時4千億位元組資料量（400gbits/h），相當於約300部ADSL連線機器同時持續不斷的上載攻擊流量，並每部必須達到其頻寬最大理論值每秒30萬位元組（300kbit/s）。鑒於理論值現實上永不可能達到，當時動員的機器可能兩倍多，並且類似做案方式發生在一打以上的反詐欺網站上。一位垃圾信件研究員陳傑夫說：「在打擊風暴殭屍網路的觀點上，從好的方面看是艰巨，從壞的方面看是不可能，因為這些壞蛋控制了數以百計百萬位元（megabits）的流量。某些證據顯示他們可能控制了上以百計十億位元（gigabis）的流量，這種流量足以將某些國家整個從互聯網驅離。」^[8]

風暴殭屍網路的系統也在受害人電腦系統本地端採取步驟防衛它自己。在某些中間系統裡，殭屍網路在視窗機器下創造了某個電腦進程；無論何時一個新程式或者其他進程開始執行該進程都會告知風暴系統。在之前，風暴蠕蟲在本地端僅僅只會告訴其他程式—如反毒反流氓程式—不去執行。然而，根據IBM保安研究指出，現在版本的暴風蠕蟲不過「愚弄」本地系統以為程式正常執行無誤，不過實際上它們什麼都没有做。「程式，不單包括可能觸發存取違規的exe檔、dll檔、與sys檔，亦包括軟體像P2P應用程式BearShare以及eDonkey都將看起來順利執行，即使它們並不實際上做什麼事，這種方式遠遠比起一個進程受到外面影響突然間終止那種做法較不容易讓人起疑。」Sophos公司的理查·科函（Richard Cohen）道。中間系統的使用者，以及相關的保全系統，將會假定保全軟體跑得好好的，實際上陽奉陰違^[36]。

2007年9月17日，一個美國共和黨的網站被當作中繼站來散播風暴蠕蟲與殭屍網路^[38][39]。2007年10月，殭屍網路利用YouTube裡郵件系統裡CAPTCHA應用程式的漏洞，遞送垃圾郵件到Xbox擁有者，假意欺騙他們有機會贏得最後一戰3電子遊戲特別版^[40]。其他攻擊方式像利用人們喜歡可愛或者新奇事物的心理，例如微笑的小貓動畫、跳舞的骷髏圖片^[41]以取得人們點擊木馬程式下載，還有蠱惑雅虎地球村服務的旗下用戶下載軟體，因為信件假稱地球村本身需要用到它^[42][43]。趨勢科技的保羅·佛古森（Paul Ferguson）特別針對地球村的那次攻擊稱之為「充分準備的入侵感染」，並牽涉到俄羅斯商業網路—一個知名的垃圾郵件與流氓軟體服務組織—的成員^[43]。2007年聖誕夜，風暴殭屍網路開始送出有針對男與女「性」趣假期專題信息，像「找個美豚過剩蛋」（Find Some Christmas Tail）、「聖誕12女（The Twelve Girls of Christmas）」、「耶誕老婆今晚上門!（Mrs. Claus Is Out Tonight!）」、以及媚惑的女性照片。這種方式被描述為企圖在假期期間勾引更多未保護系統加入殭屍網路以拓展其規模，而此時相對的網路保全商的保全更新可能得花較長時間才能部署完畢^[44][45]。在聖誕節脫衣舞孃郵件散播後隔一日，風暴殭屍網路操作者立刻開始送出新一輪電子郵件，宣稱希望他們的收件人都「2008年新年快樂」^[46]。

在2008年1月，殭屍網路首度被偵測到跟釣魚網站攻擊主流金融機構掛勾，此次的目標是巴克莱银行與海利發克斯銀行^[47]。

加密與銷售

2007年10月15日左右，研究顯示部分風暴殭屍網路及其變種上市待售^[48][49]。這交易可透過使用特製的保全金鑰對殭屍網路流量與資訊加密進行^[25]。該特製金鑰允許與其相匹配的風暴殭屍網路的每個部分、或者子區域進行聯繫。^[10]然而如果金鑰有特定長度與簽名的話，這種方式在未來將可使他人偵測、追蹤、並且封閉風暴殭屍網路的流量，^[48]。電腦保全公司Sophos同意，將風暴殭屍網路進行細切，可以猜測為是它準備轉售其服務的徵兆。Sophos的葛拉漢·庫雷（Graham Cluley）說：「風暴殭屍網路對加密流的使用，是引起我們實驗室注目的有趣功能。它最有可能的用途，是提供電子罪犯租用部分的網路以作為其濫用所需。如果網路被這些人用來做垃圾郵件、分散式阻斷服務攻擊、以及其他惡意用途，我們都不會感到驚訝。」^[50]保全專家們表示，如果風暴殭屍網路被流氓軟體市場所切割，以「立即可用+殭屍網路製作+垃圾郵件包」形式發行，世人將會看到風暴殭屍網路相關感染與中繼電腦系統數量急遽的增加^[51]。金鑰加密功能僅僅存在於2007年10月第二週以後成為風暴殭屍網路中繼系統的電腦。這意味著要被追蹤與屏閉在這段時間之前成為中繼電腦的系統仍舊困難重重^[52]。

在風暴殭屍網路這部分被發現的幾日內，來自新子區段的垃圾郵件已被各大保全公司所揭露。於10月17日晚間，保全公司開始看到新的垃圾郵件內嵌了MP3音樂檔，而該信企圖欺騙受害者去投資細價股，以作為非法炒股詐騙的一部分。研究相信此次是前所未見、首度利用實際的音樂檔案以愚弄受害者的垃圾電子郵件欺詐案例^[53]。然而，幾乎不像所有其他的風暴殭屍網路相關的電子郵件，這些新的音樂-股票欺詐信息並沒有包括任何病毒或者風暴殭屍網路流氓軟件酬載；它完全不過是股票欺詐的一部分^[54]。

2008年1月，殭屍網路首度被偵測出與針對主要金融機構用戶的釣魚網站攻擊掛勾。瞄準的歐洲銀行機構包括：巴克莱银行、海利發克斯銀行、以及蘇格蘭皇家銀行^[47][55]。F-Secure這些攻擊載台應用特製金鑰，此表示用於攻擊的殭屍網路區段是租來的^[55]。

现状

2007年9月25日，據估计微軟對視窗惡意軟體移除工具（MSRT）中的一個更新抑制了殭屍網路的規模最多達20%^[56]。微軟宣稱，二百六十萬部掃描過的Windows系統中，新的修補程式從其中的274,372部受感染系统中移除了風暴蠕蟲^[57]。不過，根據微軟資深保全人員所說：「超過180,000已被MSRT清理乾淨的機器，它們很可能打從第一日開始就是家用機器，意思就是不活躍參與『風暴殭屍網路』每日的作業。」這間接指出MSRT清理可能只是象徵性能採取的最好行動^[58]。

2007年10月末，某些報告指出風暴殭屍網路已經正在失去其暨有規模，並且數量顯著的減少^[59]。聖地牙哥加利福尼亞大學的保全分析師布蘭登·恩來（Brandon Enright）估計殭屍網路截至10月末已經掉到約160,000部中繼系統，與他於2007年7月預測的約1,500,000部系統相比較^[3]。不過，恩來註明：殭屍網路的組合時常變動，而且它仍舊主動的自我防禦外來的攻擊與監測。「如果你是個研究員並且你造訪流氓軟體宿主網頁太多次...那麼一個自動進程將自動對你投射拒絕存取攻擊。」他說道，並且隨後補充了他的研究使得風暴殭屍網路攻擊聖地牙哥加利福尼亞大學，造成該校部分的網路癱瘓無法上網^[60]。

電腦保全公司McAfee表示風暴蠕蟲很可能是未來攻擊的基礎^[61]。之前發現Mydoom蠕蟲的著名保全專家克雷格·雪姆加（Craig Schmugar）稱風暴殭屍網路是趨勢設立者，其行為引領了罪犯們利用更多類似的策略^[62]。這類殭屍網路的衍申之一被賦予「垃圾郵件幫派名人」的稱號，肇因於他們使用與風暴殭屍網路控制者類似的技術工具。然而，不像過去風暴操作者使用來勾引犧牲品的複雜社交工程那樣，垃圾郵件幫派名人承散播影視名人（如安吉丽娜·朱莉與布蘭妮·斯皮爾斯）的裸照之便^[63]。思科系统保全專家在報告中指出他們相信風暴殭屍網路在2008年依然是個嚴重威脅，並且說他們預測其規模仍保持在「上百萬部」^[64]。

於2008年年初，在其黑帽經濟體系下運作的風暴殭屍網路也碰到了其商業上的競爭對手：努哈赤（Nugache）組織，它是另一個類似的、首度於2006年被鑑識出來的殭屍網路。報告指出介於兩者殭屍網路操作者為其電子郵件遞送服務銷路的價格戰可能暗潮洶湧^[65]。隨著介於2007-2008年聖誕節與元旦假期間，德國Honeynet計畫研究者報告指出風暴殭屍網路可能會在該期間最多擴展其20%的規模^[66]。MessageLabs Intelligence於2008年3月的報告預測所有互聯網上的垃圾電子郵件總數超過20%來自於風暴殭屍網路^[67]。

Stormbot 2

2010年4月28日，邁克菲（McAfee）對傳聞中的Stormbot 2予以了證实。

參見

• 垃圾邮件

參考文獻

1. Spiess, Kevin. Worm 'Storm' gathers strength. Neo Seeker. 2007年9月7日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
2. Storm Worm's virulence may change tactics. British Computer Society. 2007年8月2日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
3. Francia, Ruben. Storm Worm network shrinks to about one-tenth of its former size. Tech.Blorge. 2007年10月21日 [2007年12月26日]. （原始内容存档于2007年12月24日）. 
4. Dvorsky, George. Storm Botnet storms the Net. Institute for Ethics and Emerging Technologies. 2007年9月24日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
5. Leyden, John. Storm Worm retaliates against security researchers. The Register. 2007年10月25日 [2007年10月25日]. （原始内容存档于2007年10月27日） （英语）. 
6. Fisher, Dennis. Experts predict Storm Trojan's reign to continue. Search Security. 2007年10月22日 [2007年12月26日]. （原始内容存档于2007年12月17日） （英语）. 
7. Coca, Rick. FBI: 'Botnets' threaten online security. Inside Bay Area. 2007年12月18日 [2007年12月27日]. （原始内容存档于2008年6月22日） （英语）. 
8. Gaudin, Sharon. Storm Worm Botnet Attacks Anti-Spam Firms. 資訊週刊. 2007年9月18日 [2007年10月10日]. （原始内容存档于2007年10月11日） （英语）. 
9. Tung, Liam. Storm worm: More powerful than Blue Gene?. ZDNet Australia. 2007年9月12日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
10. Storm Worm 暴風雨加密再進化. 台灣國家資通安全會報. 2007-10-29 [2009-01-29]. （原始内容存档于2012-12-22） （中文（繁體））. 
11. Brodkin, Jon. Financially motivated malware thrives. 2007年9月7日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
12. Null, Christopher. Devastating "Storm" Computer Worm Waiting in the Wings. Yahoo! News. 2007年10月22日 [2007年12月26日] （英语）. ^{[失效連結]}
13. Utter, David. Storm Botnet Driving PDF Spam. 2007年7月13日 [2007年10月10日]. （原始内容存档于2007年9月23日） （英语）. 
14. Cringely, Robert X. The Gathering Storm. InfoWorld. 2007年10月17日 [2007年10月17日]. （原始内容存档于2008年7月19日） （英语）. 
15. Holz, Thorsten. Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm. Usenix. 2008年4月9日 [2008年4月23日]. （原始内容存档于2008年4月20日） （英语）. 
16. Singel, Ryan. Report: Cybercrime Stormed the Net in 2007. Wired News. 2007年12月7日 [2007年12月27日]. （原始内容存档于2008年5月17日） （英语）. 
17. Larkin, Erik. The Internet's Public Enemy Number One. PC World. 2007年12月3日 [2007年12月27日] （英语）. ^{[失效連結]}
18. Gaudin, Sharon. Storm Worm Botnet More Powerful Than Top Supercomputers. 2007年9月6日 [2007年10月10日]. （原始内容存档于2007年10月11日） （英语）. 
19. Gaudin, Sharon. After Short Break, Storm Worm Fires Back Up With New Tricks. 資訊週刊. 2007年9月4日 [2007年10月10日]. （原始内容存档于2007年10月12日） （英语）. 
20. Fisher, Dennis. Storm, Nugache lead dangerous new botnet barrage. Search Security. 2007年12月17日 [2007年12月27日]. （原始内容存档于2007年12月24日） （英语）. 
21. Leyden, John. Storm Worm linked to spam surge. The Register. 2007年9月14日 [2007年10月17日]. （原始内容存档于2008年5月16日） （英语）. 
22. Schneier, Bruce. Gathering 'Storm' Superworm Poses Grave Threat to PC Nets. Wired News. 2007年10月4日 [2007年10月17日]. （原始内容存档于2008年12月27日） （英语）. 
23. Gaudin, Sharon. Hackers Breaking Up Botnets To Elude Detection. 資訊週刊. 2007年10月3日 [2007年10月17日]. （原始内容存档于2007年10月12日） （英语）. 
24. Sorensen, Chris. Storm Worm the 'syphilis' of computers. The Star. 2007年10月15日 [2007年10月17日]. （原始内容存档于2007年10月17日） （英语）. 
25. Utter, David. Storm Botnets Using Encrypted Traffic. Security Pro News. 2007年10月16日 [2007年10月17日]. （原始内容存档于2007年12月10日） （英语）. 
26. Storm DDoS hits anti-scam sites. Virus Bulletin.com. 2007年9月10日 [2007年10月17日]. （原始内容存档于2007年10月11日） （英语）. 
27. Gaudin, Sharon. NFL Kickoff Weekend Brings Another Storm Worm Attack. 資訊週刊. 2007年9月10日 [2007年10月17日]. （原始内容存档于2007年10月12日） （英语）. 
28. Hernandez, Pedro. Storm Worm Rewrote the Botnet and Spam Game. Enterprise IT Planet. 2007年10月4日 [2007年10月17日]. （原始内容存档于2007年10月11日） （英语）. 
29. Stewart, Joe. Storm Worm DDoS Attack. Secure Works. 2007年2月2日 [2007年10月17日]. （原始内容存档于2008年10月23日） （英语）. 
30. Can we detect sleeper cell bots?. Khushboo Shah, Ph.D. 2007-11-09 [2008-10-11]. （原始内容存档于2008-09-20） （英语）. 
31. Philip Hunter. PayPal, FBI and others wage war on Botnet armies. Can they succeed? (pdf). ScienceDirect.com. 2008-05-15 [2008-12-11]. （原始内容存档于2018-06-06） （英语）. 
32. McCloskey, Paul. Storm Warning: Botnet Gearing Up To Attack Defenders. 資訊週刊. 2007年9月14日 [2007年10月17日]. （原始内容存档于2007年10月11日） （英语）. 
33. Gaudin, Sharon. Storm botnet puts up defenses and starts attacking back. 資訊週刊. 2007年9月17日 [2007年10月17日]. （原始内容存档于2011年4月8日） （英语）. 
34. Storm Worm offers coal for Christmas. Security Focus. 2007年12月26日 [2007年12月27日]. （原始内容存档于2011年6月10日） （英语）. 
35. Tim Wilson. Researchers Fear Reprisals From Storm. Dark Reading. 2007年10月29日 [2007年12月28日] （英语）. ^{[失效連結]}
36. Vaas, Lisa. Storm Worm Botnet Lobotomizing Anti-Virus Programs. EWeek. 2007年10月24日 [2007年12月28日]. （原始内容存档于2020年8月22日） （英语）. 
37. Paul, Ryan. Spammers launch denial of service attacks against antispam sites. Ars Technica News. 2007年9月12日 [2007年10月17日]. （原始内容存档于2007年10月12日） （英语）. 
38. Farrell, Nick. Republicans infect voters with Storm Trojan. "The Inquirer". 2007年9月17日 [2007年10月17日]. （原始内容存档于2016年1月21日） （英语）. 
39. Keizer, Gregg. Hacked GOP Site Infects Visitors with Malware. Computerworld. 2007年9月14日 [2007年10月17日]. （原始内容存档于2007年10月15日） （英语）. 
40. Tung, Liam. 'Storm worm' exploits YouTube. CNET News. 2007年10月10日 [2007年10月17日]. （原始内容存档于2020年8月22日） （英语）. 
41. 趨勢科技提醒：「惡意威脅遍佈網路，加強閘道端防毒以策安全」. 趨勢科技. 2007-11-13 [2009-01-29]. （原始内容存档于2008-10-12） （中文（繁體））. 
42. Keizer, Gregg. Storm Trojan flaunts crazy cat to build out botnet. ComputerWorld. 2007年10月12日 [2007年10月17日]. （原始内容存档于2007年10月13日） （英语）. 
43. Keizer, Gregg. Storm Botnet Spreading Malware Through GeoCities. PC World. 2007年11月16日 [2007年12月27日]. （原始内容存档于2007年11月21日）. 
44. McMillan, Robert. Storm Worm Tempts With Christmas Strip Show. PC World. 2007年12月24日 [2007年12月27日]. （原始内容存档于2007年12月27日）. 
45. Hruska, Joel. Storm Worm delivering coal this Christmas. Ars Technica. 2007年12月25日 [2007年12月27日]. （原始内容存档于2007年12月27日） （英语）. 
46. Keizer, Gregg. Storm Botnet Drops Strippers Lure, Switches to New Year's. PC World. 2007年12月26日 [2007年12月27日]. （原始内容存档于2007年12月27日） （英语）. 
47. Rogers, Jack. Fortinet: Storm Worm botnet used to mount phishing attacks on Barclays, Halifax banks. SC Magazine. 2008年1月8日 [2008年1月9日]. （原始内容存档于2008年1月11日）. 
48. Stewart, Joe. The Changing Storm. Secure Works. 2007年10月15日 [2007年10月17日]. （原始内容存档于2008年9月26日） （英语）. 
49. Francia, Ruben. Researcher: Storm Worm botnet up for sale. Tech.Blorge. 2007年10月16日 [2007年10月17日]. （原始内容存档于2007年10月16日） （英语）. 
50. Espiner, Tom. Security expert: Storm botnet 'services' could be sold. CNet news. 2007年10月16日 [2007年10月17日]. （原始内容存档于2008年5月17日） （英语）. 
51. Vaas, Lisa. Storm Botnet Kits Loom on the Horizon. EWeek. 2007年10月16日 [2007年10月17日]. （原始内容存档于2020年8月22日） （英语）. 
52. Goodin, Dan. The balkanization of Storm Worm botnets. The Register. 2007年10月15日 [2007年10月17日]. （原始内容存档于2008年5月16日） （英语）. 
53. Keizer, Gregg. Spammers pump up volume with major spoken scam slam. Computerworld. 2007年10月18日 [2007年10月19日]. （原始内容存档于2007年3月2日） （英语）. 
54. Prince, Brian. MP3 Spam Scam Hits In-boxes. EWeek. 2007年10月18日 [2007年10月19日]. （原始内容存档于2020年8月22日） （英语）. 
55. Vamosi, Robert. Phishers now leasing the Storm worm botnet. CNET News. 2008年1月9日 [2008年5月11日]. （原始内容存档于2008年11月22日） （英语）. 
56. Beskerming, Sûnnet. Guessing at compromised host number. The Register. 2007年9月25日 [2007年10月17日]. （原始内容存档于2007年10月12日） （英语）. 
57. Naraine, Ryan. Storm Worm botnet numbers, via Microsoft. ZDNet. 2007年9月24日 [2007年10月17日]. （原始内容存档于2007年10月24日） （英语）. 
58. Krebs, Brian. Just How Bad Is the Storm Worm?. 华盛顿邮报. 2007年10月1日 [2007年10月17日]. （原始内容存档于2011年5月23日） （英语）. 
59. Chapman, Matt. Storm Worm may have blown itself out. VNUnet. 2007年10月22日 [2007年12月26日]. （原始内容存档于2007年12月20日）. 
60. McMillan, Robert. Storm Worm Now Just a Squall. PC World. 2007年10月21日 [2007年12月26日]. （原始内容存档于2008年1月3日）. 
61. Vassou, Andrea-Marie. Cyber war to escalate in 2008. Computer Active. 2007年11月29日 [2007年12月27日]. （原始内容存档于2008年1月2日）. 
62. Messmer, Ellen. Attackers poised to exploit Olympics, presidential elections in 2008. Network World. 2007年12月11日 [2007年12月27日]. （原始内容存档于2007年12月27日）. 
63. New botnet as powerful as Storm worm revealed. Secure Computing. 2007年11月29日 [2007年12月27日] （英语）. ^{[失效連結]}
64. Rogers, Jack. Cisco reports Storm botnet may be sublet to criminals in 2008 as holiday-themed attacks proliferate. SC Magazine. 2007年12月26日 [2007年12月27日]. （原始内容存档于2007年12月28日）. 
65. Dunn, John E. Nugache – the next Storm?. Tech World. 2008年1月7日 [2008年1月7日]. （原始内容存档于2008年1月8日）. 
66. Utter, David. Storm Botnet Triples In Size. Security Pro News. 2008年1月4日 [2008年1月7日]. （原始内容存档于2008年1月23日） （英语）. 
67. "One fifth of all spam springs from Storm botnet" (PDF). MessageLabs Intelligence: Q1 / March 2008 (MessageLabs). 2008年4月1日. （原始内容 (PDF)存档于2008年5月17日） （英语）. 

外部連結

• "Storm Worm DDoS Attack" - 有關風暴殭屍網路的攻擊與P2P如何運作的信息。
• YouTube上的Secure Labs發布的視頻，展示殭屍網路的散播
• "The Storm worm: can you be certain your machine isn't infected?" （页面存档备份，存于互联网档案馆）
• "TrustedSource Storm Tracker": Top Storm domains and latest web proxies （页面存档备份，存于互联网档案馆）