Skoordynowane złośliwe oprogramowanie jest odporne na eradykację

Jak zrobić straszniejsza rzecz, jeszcze gorsza? Jeśli jesteś oszustem, który obsługuje botnet - często ekspansywną sieć zainfekowanych komputerowo komputerów - łączysz botnety, tworząc gigantyczną "botnetweb". I robisz to w sposób, który jest trudny do walki z pakietem antywirusowym.

Botnetwebs to nie tylko umożliwienie oszustom wysyłania spamu lub złośliwego oprogramowania na miliony komputerów naraz. Reprezentują również wysoce odporną infekcję, która wykorzystuje wiele plików. Próba dezynfekcji może wyeliminować niektóre pliki, ale te, które pozostały, często będą pobierać ponownie te skradzione.

Sprawcami "nie są bandy frajerów siedzących w ciemnym pokoju, rozwijających te botnety dla zabawy", pisze Atif Mushtaq z FireEye, Milpitas, Kalifornia, firma ochroniarska, która utworzyła termin botnetweb. "Są to ludzie zorganizowani, działający w formie wyrafinowanego biznesu."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Scratch My Back …

W przeszłości rywalizacja między złośliwym oprogramowaniem Pisarze czasami wskazywali, że jedna infekcja może polować na infekcję rywala na maszynie, a następnie ją usunąć. Niedawno zwyciężony robak Conficker naprawił lukę systemu Windows wykorzystywaną do infekowania komputerów, skutecznie zamykając drzwi za sobą, aby zapobiec infekcjom innych szkodliwych programów.

FireEye znalazł dowody nie konkurencji, ale współpracy i koordynacji wśród głównych botnety typu spam, reprezentujące zmianę w sposobie działania szkodliwego oprogramowania. Firma zbadała serwery dowodzenia i kontroli (C & C) używane do wysyłania zamówień marszu do botów, które mogą obejmować przekazywanie spamu lub pobieranie dodatkowych złośliwych plików. W przypadku botnetów Pushdo, Rustock i Srizbi odkryto, że serwery kontroli na czele każdego botnetu znajdowały się w tym samym obiekcie hostingowym; adresy IP używane dla serwerów również mieściły się w tych samych zakresach. Gdyby rywalizujące botnety konkurowały ze sobą, najprawdopodobniej nie nacierałyby łokciami cyfrowo.

Botnetweb to miliony komputerów silnych

Więcej dowodów na istnienie botnetwebs pochodzi od Finjan, firmy zajmującej się sprzętem bezpieczeństwa sieci w Kalifornii. Finjan poinformował o znalezieniu serwera kontroli wysyłającego spam, złośliwe oprogramowanie lub polecenia zdalnego sterowania do imponujących 1,9 miliona botów.

Serwer kontroli miał sześć kont administratora, a także pamięć podręczną brudnych programów. Ophir Shalitin, dyrektor ds. Marketingu w Finjan, mówi, że Finjan nie wie, który z programów mógł zainfekować który komputer - lub co ważniejsze, które złośliwe oprogramowanie spowodowało pierwszą infekcję. Firma prześledziła (już nieistniejący) adres IP serwera kontroli na Ukrainę i znalazła dowody, że zasoby botnetu zostały wynajęte za 100 USD za 1000 botów dziennie.

Według Alexa Lansteina, starszego pracownika ochrony FireEye, kolekcja rozproszona botnetów daje złym ludziom wiele korzyści. Gdyby organy ścigania lub firma ochroniarska zamknęły serwer kontroli dla pojedynczego botnetu, oszust mógł nadal czerpać zyski z przetrwałych botnetów.

Tworzenie takich botnetów zwykle rozpoczyna się od złośliwego oprogramowania typu "dropper", mówi Lanstein, który wykorzystuje "zwykłe Jane, techniki waniliowe" i bez dziwnego kodowania lub działań, które mogą podnieść czerwoną flagę dla aplikacji antywirusowych. Po wkropleniu wkraczającego na komputer (często za pomocą pobierania dysku lub załącznika wiadomości e-mail) może on pobrać konia trojańskiego, takiego jak złośliwe oprogramowanie Hexzone wysyłane przez serwer, który znalazł Finjan. Ten wariant Hexzone został początkowo wykryty tylko przez 4 z 39 silników antywirusowych w VirusTotal.

Dezynfekcja Whack-a-Mole

Obecnie wiele złośliwych plików jest często zaangażowanych, co sprawia, że ​​intruz jest znacznie bardziej odporny w twarz prób jej usunięcia.

W obserwowanej próbie wyczyszczenia konia trojańskiego Zeus przez RogueRemover Malwarebyte'a, który Lanstein mówi, że jest ogólnie dostępnym dezynfektorem, RogueRemover znalazł niektóre, ale nie wszystkie pliki. Po kilku minutach Lanstein mówi, że jeden z pozostałych plików komunikował się z serwerem C & C i natychmiast ponownie załadował usunięte pliki.

"Szanse na wyczyszczenie wszystkiego po prostu przez uruchomienie danego narzędzia antywirusowego są umiarkowane" - mówi Randy Abrams, dyrektor ds. Edukacji technicznej z twórcą oprogramowania antywirusowego Eset. Abrams, Lanstein i inni guru bezpieczeństwa podkreślają, że jeśli twój program antywirusowy "usuwa" infekcję, nie powinieneś zakładać, że szkodnik zniknął. Możesz spróbować pobrać i uruchomić dodatkowe narzędzia, takie jak RogueRemover. Inne, takie jak HijackThis lub SysInspector firmy Eset, przeanalizują Twój komputer i utworzą dziennik, w którym będziesz publikować posty w takich miejscach, jak Bleeping Computer, gdzie doświadczeni wolontariusze oferują dostosowane porady.

Lepszą taktyką jest upewnienie się, że Twój komputer nie jest zainfekowany na pierwszym miejscu. Zainstaluj aktualizacje, aby zamknąć luki, które mogą być wykorzystane w witrynach typu "drive-by-download" - nie tylko w Windows, ale także w aplikacjach takich jak Adobe Reader. Aby chronić się przed zatrutymi załącznikami do wiadomości e-mail lub innymi plikami, nie otwieraj żadnych nieoczekiwanych załączników ani plików do pobrania; uruchom wszystko, czego nie masz pewności, korzystając z VirusTotal, tej samej bezpłatnej strony do skanowania, której używa wielu ekspertów.