Este PC infectat cu bot? Iată cum să spuneți

Pe măsură ce focurile de artificii au explodat în 4 iulie, din computerele compromise au atacat site-urile web ale guvernului american. Un botnet de peste 200.000 de computere, infectat cu tulpina virusului MyDoom din 2004, a încercat să refuze accesul legitim la site-uri precum cele ale Comisiei Federale pentru Comerț și Casei Albe. Asaltul a fost o amintire îndrăzneață că botneturile continuă să fie o problemă masivă.

Botnet-urile sunt rețele necinstite de computere compromise "zombie". Mașina dvs. poate deveni infectată dacă vizitați un site și descărcați codul rătăcit deghizat sub forma unui videoclip, dacă vizitați un site care a fost compromis, sau dacă un virus tradițional sau altă formă de malware intră în sistemul dvs. Odată ce botul vă infectează computerul, acesta solicită instrucțiuni către serverul său de comandă și control (CnC). Un bot este similar cu un cal troian tradițional; dar mai degrabă decât să instaleze un keylogger sau un furt de parole (pe care oricum ar mai putea să o facă), un bot lucrează cu alte PC-uri infectate, obligându-i pe toți să acționeze împreună, într-un fel ca un calculator foarte mare. bani pentru a avea un blasticos mesaj mesajul lor la mii de masini; în special, spam-ul farmaceutic canadian este mare acum. Alte utilizări pentru boturi includ atacuri care închid site-urile web comerciale, adesea asociate cu o cerere de răscumpărare. De asemenea, există o afacere rapidă în ceea ce se numește

flux rapid: Pentru a păstra site-urile Web phishing active, operatorii schimbă frecvent domenii. Botnets oferă o modalitate rapidă și ușoară de a face acest lucru și, conform firmei de securitate Kaspersky, proprietarii de botnet percep taxe mari pentru acest serviciu. În iulie, Fundația ShadowServer, un grup specializat în schimbul de informații despre botneturi, a raportat că numărul de botnete identificate a crescut de la 1500 la 3500 în ultimii doi ani. Fiecare dintre cele 3500 de rețele ar putea conține câteva mii de PC-uri compromise - și orice PC dat ar putea fi infectat de mai mulți roboți.

Numerele brute, Statele Unite și China sunt casele majorității mașinilor infectate cu bot Jose Nazario, manager de cercetare în domeniul securității la Arbor Networks. "Cred că este foarte sigur pentru majoritatea utilizatorilor de PC-uri să presupună că fac parte dintr-un botnet", spune el. "Este un Internet foarte periculos pentru majoritatea oamenilor".

Detectarea Infecțiilor

Botnicii trăiesc sau mor în funcție de comunicațiile cu serverele CnC. Aceste comunicări pot spune cercetătorilor cât de mare este un botnet. În mod similar, inundațiile de comunicații din și în afara PC-ului ajută aplicațiile antimalware să detecteze un bot cunoscut. "Din păcate, lipsa alertelor antivirus nu este un indicator al unui PC curat", spune Nazario. "Software-ul antivirus pur și simplu nu poate ține pasul cu numărul de amenințări. Este frustrant faptul că nu avem soluții semnificativ mai bune pentru utilizatorul mediu de acasă, mai răspândit."

Chiar dacă verificarea antivirusului PC-ului iese curat, fi vigilent. Microsoft oferă un instrument gratuit de eliminare a software-ului rău intenționat. O versiune a instrumentului, disponibilă atât de la Microsoft Update cât și de la Windows Update, este actualizată lunar; rulează în fundal în a doua zi de marți a fiecărei luni și raportează către Microsoft ori de câte ori găsește și elimină o infecție. Puteți utiliza oricând o altă versiune a Instrumentului de eliminare a software-ului rău intenționat, care poate fi descărcată de pe site-ul Microsoft, și ar trebui să rulați utilitarul dacă observați o schimbare bruscă a comportamentului calculatorului dvs.

Instrumentul de eliminare a software-ului rău intenționat generează rezultate. În septembrie 2007, Microsoft a adăugat utilitarului capacitatea de a recunoaște botul Storm. Peste noapte dimensiunea botnet-ului Storm a fost redusă cu până la 20%. De atunci, Microsoft a adăugat alte liste botnate la lista de instrumente, cum ar fi Conficker și Szribi.

Opțiunile proactive sunt, de asemenea, disponibile. BotHunter, un program gratuit de la SRI International, funcționează cu Unix, Linux, Mac OS, Windows XP și Vista. Deși este proiectat pentru rețele, poate funcționa și pe desktop-uri și laptopuri stand-alone.

BotHunter ascultă pasiv traficul pe Internet prin intermediul aparatului dvs. și păstrează un jurnal de schimburi de date care apar în mod obișnuit atunci când un PC este infectat cu programe malware. Ocazional, pentru a-și îmbunătăți definițiile, BotHunter trimite mesaje de ieșire către o bază de date SRI Internațională de adware, spyware, viruși și viermi. BotHunter a recunoscut pentru prima dată modelul de schimb de date Conficker în noiembrie 2008, cu mult înainte ca alți furnizori de securitate să fi luat amploare.

Future Botnets

Dacă numai pentru a-și demonstra rezistența, robii au invadat recent telefoanele mobile. Trend Micro a raportat că malware-ul Sexy View SMS de pe sistemul de operare Symbian poate contacta un server CnC pentru a recupera noi șabloane de mesaje SMS.

În timp ce un botnet pe un telefon mobil ar putea să pară diferit de cel de pe PC, ideea de a închiria o rețea de telefoane "deținute" poate fi viabilă în viitorul apropiat. Indiferent de modul în care ar putea lua roboții, probabil că nu vom putea eradica amenințarea; putem învăța mai bine să gestionăm infestările cu bot. Dar, între timp, să ne curățăm cât mai multe calculatoare.