A koordinált rosszindulatú szoftverek ellenállnak a felszámolással

A botnetwebs nem engedi, hogy a bűnözők spam vagy rosszindulatú programokat küldjenek több millió számítógépre egyszerre. Nagyon rugalmas fertőzést is jelentenek, amely több fájlt használ. A fertőtlenítés kísérlete megszünteti az egyes fájlokat, de a maradékokat gyakran lecseréli a súrolt.

A bűnösök "nem egy csomó nerds ül egy sötét szobában, amely ezeket a botneteket szórakoztatja," írja Atif Mushtaq of FireEye, a kaliforniai Milpitas, a

botnetweb kifejezést létrehozó biztonsági cég. "Ezek szervezett emberek, akik kifinomult üzleti formában futnak." [További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Scratch My Back …

A múltban a rosszindulatú programok az írók néha azt jelentették, hogy egy fertőzés vadászni tud egy rivális fertőzésén egy gépen, majd eltávolítja. A figyelemfelkeltő Conficker féreg a Windows sebezhetőségét javította ki a fertőzött gépeken, és hatékonyan bezárta maga mögött az ajtót, hogy megakadályozza az egyéb rosszindulatú programok fertőzéseit.

A FireEye nem bizonyította a versenyt, hanem az együttműködést és a koordinációt spam botnetek, ami tengeri változást jelent a rosszindulatú programok működésében. A vállalat megvizsgálta a parancsok és vezérlők (C & C) szervereit, amelyek a bots parancsokat küldik el a botokba, amely magában foglalhatja a spam továbbítását vagy további rosszindulatú fájlok letöltését. A Pushdo, a Rustock és a Srizbi botnetek esetében rájött, hogy az egyes botnetek fejlécében lévő C & C szerverek ugyanabban a tárhelyben vannak; a kiszolgálókhoz használt IP-címek szintén azonos tartományba esnek. Ha a különböző botnetek versenyeztek volna, akkor valószínűleg nem lett volna digitálisan dörzsölve a könyökét.

A Botnetweb Ez a Millions of PCs Strong

Több bizonyíték botnetwebs érkezett Finjan, egy hálózati biztonsági berendezés Kaliforniában. Finjan bejelentette, hogy megtalálja a C & C kiszolgálót, amely képes spam, rosszindulatú programokat vagy távoli vezérlési parancsokat küldeni egy óriási 1,9 millió robotba.

A C & C szervernek hat adminisztrátori fiókja van, plusz piszkos programok gyorsítótárát. Ophir Shalitin, a Finjan marketing igazgatója szerint Finjan nem tudja, hogy a programok közül melyik tudta volna megfertőzni, hogy mely számítógépek közül melyik - vagy ami még fontosabb - milyen rosszindulatú fertőzést okozott a kezdeti fertőzés. A cég nyomon követte a (már megszűnt) C & C szerver IP címét Ukrajnának, és bizonyítékot talált arra vonatkozóan, hogy a botnet erőforrásait napi 1000 dollárért 1000 dollárért adták bérbe.

Alex Lanstein, a FireEye vezető biztonsági kutatója, A botnetek számos előnnyel járnak a rossz fiúknak. Ha a bűnüldözés vagy a biztonsági cég leállítja a C & C szervert minden egyes botnet számára, akkor a kolléga még mindig profitot nyerhet a túlélő botnetekből.

Az ilyen botnetek létrehozása általában "csepegtető" rosszindulatú programokkal kezdődik, mondja Lanstein "sima-Jane, vanília technikák", és nincs olyan furcsa kódolás vagy művelet, amely piros zászlót emelhetne a víruskereső alkalmazásokhoz. Miután egy csepegtető belép a számítógépbe (gyakran egy meghajtó letöltéssel vagy egy e-mail mellékletként), akkor egy trójai programot, például a Finans által talált kiszolgáló által küldött Hexzone-mal terjedhet. Ez a Hexzone változat kezdetben csak a VirusTotal 39 antivírus motorjának 4-ből volt kimutatva.

Whack-a-Mole fertőtlenítés

És ezekben a napokban többszörös kártékony fájlok is érintettek, ami a behatolót sokkal rugalmasabbá teszi az arcon a felszámolásra irányuló kísérletek során.

Egy megfigyelt kísérletben, hogy a Zeus trójaiát a Malwarebyte RogueRemoverje tisztítja, amely Lanstein szerint egy általánosan alkalmas fertőtlenítő, a RogueRemover talált néhány, de nem minden fájlt. Néhány perc múlva Lanstein azt mondja, hogy az egyik megmaradt fájl a C & C szerverével kommunikált, és azonnal letöltötte a törölt fájlokat.

"Az esélye annak, hogy egy adott vírusirtó eszköz futtatásával mindent megtisztítanak, mérsékelt" - mondja Randy Abrams, az Eset antivírus-gyártó műszaki oktatásának igazgatója. Abrams, Lanstein és más biztonsági guruk hangsúlyozzák, hogy ha a vírusölő "eltávolítja" a fertőzést, akkor nem vállalja, hogy a rosszindulatú program eltűnt. Kipróbálhatja az extra eszközök, például a RogueRemover letöltését és futtatását. Mások, mint például a HijackThis vagy az Eset SysInspector, elemzik a számítógépét, és létrehoznak egy naplót, hogy postázzon olyan helyeken, mint a Bleeping Computer, ahol a tapasztalt önkéntesek személyre szabott tanácsokat adnak.

Egy jobb taktika annak biztosítása, hogy a számítógéped nem fertőzött elsősorban. Telepítse a frissítéseket, hogy bezárja azokat a lyukakat, amelyeket a letöltési webhelyek kihasználhatnak - nem csak a Windows, hanem az olyan alkalmazásokban is, mint például az Adobe Reader. A mérgezett e-mail mellékletek vagy egyéb fájlok ellen ne nyissa meg a váratlan mellékleteket vagy letöltéseket; futtasson bármit, amit nem biztos a VirusTotalon keresztül, ugyanaz az ingyenes letapogatási webhely, amelyet sok szakértő használ.