Koordinovaný malware odolává vyhoštění

Botnetwebs nejen umožňují podvodníkům poslat spam nebo malware milionům počítačů najednou. Také představují vysoce odolnou infekci, která používá více souborů. Pokus o dezinfekci by mohl odstranit některé soubory, ale ty, které zanechaly, často vynesou vyčistěné.

Viníci "nejsou spousty nerudů, kteří sedí v nějaké tmavé místnosti a rozvíjejí tyto boty pro zábavu," píše Atif Mushtaq z FireEye, Milpitas, Kalifornie, bezpečnostní společnost, která vytvořila termín

botnetweb. "Jsou to organizovaní lidé, kteří tuto funkci provozují ve formě sofistikované práce."

[

] V minulosti byla konkurence mezi malwarem spisovatelé někdy znamenali, že jedna infekce může lovit soupeřovou infekci na stroji a pak ji odstranit. V nedávné době napadl červa Conficker, který upoutal pozornost, zranitelnost systému Windows, kterou využívala k nakazení počítačů, čímž efektivně zavřela dveře za sebou, aby zabránila infekcím jiným škodlivým softwarem.

FireEye nalezl důkazy nejen o konkurenci, ale o spolupráci a koordinaci mezi hlavními spam botnety, což představuje změnu ve způsobu fungování malwaru. Společnost zkoumala servery příkazového a řídícího (C & C), které používají k odesílání příkazů pochodu k robotům, což může zahrnovat přenos spamu nebo stahování dalších škodlivých souborů. V případě botnetů Pushdo, Rustock a Srizbi zjistil, že servery C & C v čele každé botnetové sítě byly ve stejném hostitelském zařízení; IP adresy používané pro servery také spadají do stejných rozsahů. Pokud by se odlišné botnety staly konkurenčními, pravděpodobně by neměly digitální lokty.

A Botnetweb To je miliony počítačů silných

Více důkazů o botnetwebs pochází od společnosti Finjan, síťové bezpečnostní techniky v Kalifornii. Finjan oznámil, že nalezl server C & C, který by mohl odesílat nevyžádanou poštu, škodlivý software nebo příkazy vzdáleného řízení na obrovské 1,9 milionu bot.

Server C & C měl šest administrátorských účtů plus cache špinavých programů. Marketingový ředitel Ophir Shalitin, Finjan, říká, že Finjan neví, který z programů mohl infikovat, který z počítačů - nebo co je důležitější - který malware způsobil počáteční infekci. Společnost identifikovala IP adresu společnosti C & C na Ukrajině a zjistila, že zdroje botnetu byly vypůjčeny za 100 dolarů za 1000 bot za den. Podle Alexa Lansteina, vedoucího bezpečnostního výzkumu společnosti FireEye, distribuovaná sbírka botnetů dává špatným lidem mnoho výhod. Pokud by vynucování práva nebo bezpečnostní firma měla vypnout server C & C pro jakýkoli botnet, mohl by podvodník stále profitovat z přežívajících botnetů.

Vytváření takových botnetů obvykle začíná malwarem "dropper", říká Lanstein, který používá "plain-Jane, vanilkové techniky" a žádné podivné kódování nebo akce, které mohou vyvolat červenou vlajku pro antivirové aplikace. Jakmile kapátko vstoupí do počítače (často pomocí staženého disku nebo e-mailové přílohy), může dojít k vytržení trojského koně, jako je například server Hewzone, který vyslal server FINIAN. Tento variant Hexzone byl původně detekován pouze u 4 z 39 antivirových strojů na VirusTotal.

Whack-a-Mole Disinfection

A v těchto dnech se často jedná o více škodlivých souborů, což dělá narušitel mnohem odolnější tvář pokusů o jeho vymýcení.

Při pozorovaném pokusu vyčistit trojúhelníkový kůň Zeus pomocí Malwarebyte's RogueRemover, který Lanstein říká jako obecně schopný dezinfektor, RogueRemover našel některé, ale ne všechny soubory. Po několika minutách Lanstein říká, že jeden z ostatních souborů komunikoval se svým serverem C & C a okamžitě redownloadoval smazané soubory.

"Pravděpodobnost, že je vše čisté tím, že spustíte daný antivirový nástroj, jsou mírné," říká Randy Abrams, ředitel technického vzdělání s antivirovým producentem Eset. Abrams, Lanstein a další bezpečnostní guru zdůrazňují, že pokud váš antivirus "odstraní" infekci, neměli byste předpokládat, že malware je pryč. Můžete si vyzkoušet stahování a spouštění dalších nástrojů, jako je RogueRemover. Jiní, jako například HijackThis nebo SysInspector společnosti Eset, analyzují váš počítač a vytvoří vám protokol, který vás zaúčtuje na stránkách jako Bleeping Computer, kde zkušení dobrovolníci nabízejí poradenství na míru.

Lepší taktika je zajistit, aby vaše PC nebylo infikováno na prvním místě. Nainstalujte aktualizace, abyste zavřeli otvory, které by mohly zneužít webové stránky s možností stažení - nejen v systému Windows, ale také v aplikacích, jako je Adobe Reader. A abyste se chránili proti otráveným e-mailovým přílohám nebo jiným souborům, neotvírejte žádné neočekávané přílohy nebo stahování. spusťte cokoliv, o čem si nejste jisti, přes VirusTotal, tentýž bezplatný skenovací web, který používají mnozí odborníci.