Koordinirani zlonamjerni softver sprečava iskorjenjivanje

Botnetwebs ne samo omogućiti lopovima slanje spam ili zlonamjernih programa na milijune računala odjednom. Oni također predstavljaju visoko elastičnu infekciju koja koristi više datoteka. Pokušaj dezinfekcije može ukloniti neke datoteke, ali oni koji su ostavljeni često će preuzimati ispražnjene.

Krivci "nisu hrpa glodavaca koji sjede u nekoj mračnoj sobi i razvijaju ove botnete za zabavu", piše Atif Mushtaq of FireEye, tvrtka Milpitas u Kaliforniji, tvrtka koja je izradila pojam

botnetweb. "To su organizirani ljudi koji ovo upravljaju u obliku sofisticiranog poslovanja." [Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Iznenadite mi leđa …

U prošlosti, konkurencija među zlonamjernim softverom pisci su ponekad značili da bi jedna infekcija mogla loviti protivnika infekcije na stroju i zatim ga ukloniti. U novije vrijeme, Conficker crv koji je privukao pažnju zakrpao je Windowsovu ranjivost koju je iskoristila za zarazu strojeva, učinkovito zatvarajući vrata iza sebe kako bi spriječila infekcije drugih zlonamjernih programa.

FireEye je pronašao dokaze ne o konkurenciji, već o suradnji i koordinaciji među glavnim botnet mreža, što predstavlja promjenu načina na koji funkcionira zlonamjerni softver. Tvrtka je istraživala poslužitelje naredbi i kontrole (C & C) koje se koriste za slanje marširajućih naloga na botove, što bi moglo uključivati ​​prosljeđivanje neželjene pošte ili preuzimanje dodatnih zlonamjernih datoteka. U slučaju botneta Pushdo, Rustock i Srizbi, otkrila je da su poslužitelji C & C na čelu svake botnet bili u istom hostingu; IP adrese koje se koriste za poslužitelje također su bile unutar istih raspona. Ako se različite botnete natječu, vjerojatno neće digitalno utrljati laktove.

Botnetweb To je milijun računala snažnih

Više dokaza botnetwebs-a dolazilo je iz tvrtke Finjan, tvrtke za mrežnu sigurnosnu opremu u Kaliforniji. Finjan je izvijestio o pronalaženju C & C poslužitelja koji može slati neželjene poruke, zlonamjerne programe ili naredbe daljinskog nadzora na nevjerojatnih 1,9 milijuna bota.

C & C poslužitelj imao je šest administratorskih računa, kao i predmemoriju prljavih programa. Ophir Shalitin, Finjan direktor marketinga, kaže da Finjan ne zna koji bi od programa mogao zaražiti koja od računala - ili što je još važnije, koji zlonamjerni softver je napravio početnu infekciju. Tvrtka je pratila IP adresu (sada odumrla) C & C poslužitelja u Ukrajinu i pronašla dokaze da se botnet resursi iznajmljuju za 100 dolara po 1000 komada dnevno.

Prema Alex Lanstein, istraživaču za sigurnost FireEye, distribuiranom zbirkom botneta daje lošim momcima mnoge prednosti. Ako bi provođenje zakona ili sigurnosna tvrtka trebala ugasiti C & C poslužitelj za bilo koji botnet, krivotvoritelj bi mogao i dalje zaraditi od preživjelih botneta.

Stvaranje takvih botneta obično počinje s "dropper" zlonamjernim softverom, kaže Lanstein, koji koristi "plain-Jane, tehnike vanilije" i bez čudnih kodiranja ili akcija koje mogu podići crvenu zastavicu za antivirusne aplikacije. Nakon što kapaljka ulazi u računalo (često preuzimanjem ili privitkom e-pošte), može doći do trojanskog konja, kao što je Hexzone zlonamjerni softver koji šalje poslužitelj Finjan. Ova varijanta Hexzone je u početku otkrivena od svega 4 od 39 protuvirusnih motora na VirusTotal.

Dezinfekcija praska-a-mole

I ovih dana često su uključeni više zlonamjernih datoteka, što čini ulje puno otpornije na licu pokušava ga iskorijeniti.

U promatranom pokušaju očistiti Zeus trojanski konj od strane Malwarebyte RogueRemover, koji Lanstein kaže da je općenito sposoban dezinfektora, RogueRemover pronašao neke, ali ne sve datoteke. Nakon nekoliko minuta, kaže Lanstein, jedna od preostalih datoteka komunicirala se sa svojim C & C poslužiteljem i redovito preuzimanje datoteka izbrisanih datoteka.

"Izgledi za čišćenje sve gore samo trčanje određeni antivirusni alat su umjerene", kaže Randy Abrams, direktor tehničkog obrazovanja s antivirusnim maker Eset. Abrams, Lanstein i drugi sigurnosni gurui naglašavaju da ako vaš antivirusni program "ukloni" infekciju, ne biste smjeli pretpostaviti da zlonamjerni softver nema. Možete pokušati preuzeti i pokrenuti dodatne alate, kao što je RogueRemover. Drugi, kao što su HijackThis ili Eset's SysInspector, analizirat će vaše računalo i stvoriti zapisnik za objavljivanje na mjestima poput Bleeping Computer, gdje iskusni volonteri nude prilagođene savjete.

Bolja taktika je osigurati da vaše računalo nije zaraženo na prvom mjestu. Instalirajte ažuriranja kako biste zatvorili rupe koje web-mjesta za preuzimanje mogu iskoristiti - ne samo u sustavu Windows, već i u aplikacijama kao što je Adobe Reader. I kako bi se zaštitili od otrovanih privitaka e-pošte ili drugih datoteka, ne otvarajte neočekivane privitke ili preuzimanja; pokrenite sve što niste sigurni kroz VirusTotal, istu besplatnu stranicu za skeniranje koju koriste mnogi stručnjaci.