Coordinated Malware Rezistă Eradicarea

Cum vă un lucru teribil și mai rău? Dacă sunteți un escroc care operează un botnet - o rețea adesea expansivă de PC-uri infectate cu malware - faceți legături între botnete împreună pentru a forma un "botnetweb". Și faceți acest lucru într-un mod care este greu pentru o suită de antivirus de a lupta.

Botnetwebs nu permit numai infractorilor să trimită spam sau malware la milioane de PC-uri simultan. Ele reprezintă, de asemenea, o infecție foarte rezistentă care utilizează mai multe fișiere. O încercare de dezinfecție s-ar putea elimina unele fișiere, dar cei rămași în urmă vor redownloadeze de multe ori pe cele frecate.

Vinovați „nu sunt o grămadă de tocilari stau într-o cameră întunecată în curs de dezvoltare aceste botnet pentru distracție“, scrie Atif Mushtaq de FireEye, compania Milpitas, California, care a inventat termenul botnetweb. "Aceștia sunt oameni organizați care rulează acest lucru sub formă de afacere sofisticată."

[Citiți în continuare: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

Scratch My Back …

În trecut, scriitorii au însemnat uneori că o infecție ar putea să vâneze pentru o infecție a unui rival pe o mașină și apoi să o elimine. Mai recent, viermele Conficker care a atras atenția a modificat vulnerabilitatea Windows pe care o exploatează pentru a infecta mașinile, închizând în mod eficient ușa în spatele ei pentru a preveni infecțiile altor malware.

FireEye a găsit dovezi nu despre concurență, ci despre cooperare și coordonare spam botnets, reprezentând o schimbare de mare în felul în care malware-ul funcționează. Compania a investigat serverele de comandă și control (C & C) folosite pentru trimiterea comenzilor de marcare către roboți, care ar putea include transmiterea de mesaje spam sau descărcarea de fișiere malware suplimentare. În cazul botneturilor Pushdo, Rustock și Srizbi, a descoperit că serverele C & C aflate în fruntea fiecărui botnet se aflau în aceeași unitate de găzduire; adresele IP utilizate pentru servere au căzut și în aceleași intervale. Dacă botnet disparate au fost concurente, ei probabil nu ar fi digital frecat coatele.

Un Botnetweb Asta Milioane de PC-uri puternice

Mai multe dovezi ale botnetwebs a venit de la Finjan, o rețea de echipamente de securitate al companiei din California. Finjan a raportat că a găsit un server C & C capabil să trimită comenzi de spam, malware sau de la distanță la un număr de 1,9 milioane de roboți.

Serverul C & C avea șase conturi de administrator plus o memorie cache de programe murdare. Ophir Shalitin, director de marketing Finjan, spune că Finjan nu știe care dintre programele ar putea să fi infectat care dintre PC-uri - sau mai important, ce malware a făcut infecția inițială. Firma a trasat (acum defunctei) adresa IP C & C server de la Ucraina, și a găsit dovezi că resursele botnet au fost închiriate pentru 100 $ pentru 1000 de roboți pe zi.

Potrivit lui Alex Lanstein, un cercetator de securitate senior FireEye, o colecție distribuită din botneturi oferă băieților răi multe avantaje. În cazul în care autoritățile de aplicare a legii sau o firmă de securitate urmau să închidă serverul C & C pentru orice botnet unic, acesta ar fi putut să obțină profit de la botneturile supraviețuitoare.

Crearea unor astfel de botnete începe, de obicei, cu malware "dropper", spune Lanstein "tehnici simple de Jane, vanilie" și nici o codificare ciudată sau acțiuni care ar putea ridica un steag roșu pentru aplicațiile antivirus. Odată ce un dropper intră pe un PC (adesea printr-o descărcare de tip drive-by sau un atașament prin e-mail), poate trage un cal troian, cum ar fi malware-ul Hexzone trimis de serverul Finjan găsit. Această variantă Hexzone a fost inițial detectat de numai 4 din 39 de motoare antivirus la VirusTotal.

Whack-a-mole Dezinfectarea

Și în aceste zile, mai multe fișiere malware sunt adesea implicate, ceea ce face ca un intrus mult mai rezistente în fața de încercări de eradicare a acestuia.

Într-o încercare observată de a curăța calul troian Zeus de RogueRemover de la Malwarebyte, despre care Lanstein spune că este un dezinfectant general capabil, RogueRemover a găsit câteva, dar nu toate, fișiere. După câteva minute, spune Lanstein, unul dintre fișierele rămase comunicate cu serverul său C & C și redownloaded prompt fișierele șterse.

"Șansele de a curăța totul doar prin rularea unui instrument antivirus dat sunt moderate", spune Randy Abrams, director de educație tehnică cu producătorul de antivirus Eset. Abrams, Lanstein și alți guru-i de securitate subliniază faptul că dacă antivirusul "elimină" o infecție, nu trebuie să presupuiți că malware-ul a dispărut. Puteți încerca să descărcați și să rulați instrumente suplimentare, cum ar fi RogueRemover. Alții, cum ar fi HijackThis sau SysInspector-ul Eset, vă vor analiza PC-ul și vor crea un jurnal pentru a vă posta pe site-uri precum Bleeping Computer, unde voluntarii cu experiență oferă sfaturi personalizate.

O tactică mai bună este să vă asigurați că PC-ul dvs. nu este infectat in primul loc. Instalați actualizări pentru a închide găurile pe care site-urile de descărcare ar putea să le exploateze - nu numai în Windows, ci și în aplicații precum Adobe Reader. Și pentru a vă proteja de atașamentele de e-mail otrăvit sau de alte fișiere, nu deschideți atașamente sau descărcări neașteptate; rulați tot ceea ce nu sunteți sigur prin VirusTotal, același site gratuit de scanare pe care mulți experți îl folosesc.