Czy Twój komputer jest zainfekowany botem? Oto, jak powiedzieć

Gdy fajerwerki rozkwitły w dniu 4 lipca, tysiące zaatakowanych komputerów zaatakowało strony internetowe rządu Stanów Zjednoczonych. Botnet z ponad 200 000 komputerów zainfekowanych szczepem wirusa MyDoom z 2004 roku próbował odmówić legalnego dostępu do stron takich jak Federalna Komisja Handlu i Biały Dom. Atak był odważnym przypomnieniem, że botnety nadal stanowią ogromny problem.

Botnety to nieuczciwe sieci skompromitowanych komputerów "zombie". Twój komputer może zostać zainfekowany, jeśli wejdziesz na stronę i pobierzesz skażony kod pod postacią wideo, gdy odwiedzasz stronę, która sama została naruszona, lub jeśli do twojego systemu dostanie się tradycyjny wirus lub inny złośliwy program. Gdy bot infekuje twój komputer, wywołuje instrukcje do swojego serwera sterowania i kontroli (CnC). Bot jest podobny do tradycyjnego konia trojańskiego; ale zamiast instalować keylogger lub narzędzie do kradzieży hasła (które i tak może nadal robić), bot współpracuje z innymi zainfekowanymi komputerami, zmuszając ich do wspólnej pracy, na przykład w bardzo dużym komputerze.

Spamerzy płacą duże pieniądze, aby bot wysłał wiadomość do tysięcy komputerów; w szczególności kanadyjski spam farmaceutyczny jest obecnie duży. Inne zastosowania botów obejmują ataki polegające na zamykaniu komercyjnych witryn sieci Web, często w połączeniu z żądaniem okupu. Aktywny biznes istnieje również w tak zwanym szybkim strumieniu: Aby utrzymywać aktywność witryn wyłudzających informacje, operatorzy często zmieniają domeny. Botnety zapewniają szybki i łatwy sposób na to, i, zgodnie z firmą ochroniarską Kaspersky, właściciele botnetów pobierają duże pieniądze za tę usługę.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

W lipcu ShadowServer Foundation, grupa specjalizująca się w udostępnianiu informacji o botnetach, poinformowała, że ​​liczba zidentyfikowanych botnetów wzrosła z 1500 do 3500 w ciągu ostatnich dwóch lat. Każda z tych 3500 sieci mogła zawierać kilka tysięcy zainfekowanych komputerów - a każdy komputer mógł zostać zainfekowany przez wiele botów.

W liczbach surowych Stany Zjednoczone i Chiny są domostwami większości maszyn zainfekowanych przez boty, mówi Jose Nazario, kierownik ds. Badań nad bezpieczeństwem w Arbor Networks. "Wydaje mi się, że dla większości użytkowników komputerów PC bardzo bezpieczne jest założenie, że są częścią botnetu" - mówi. "Dla większości ludzi jest to bardzo niebezpieczny Internet."

Wykrywanie infekcji

Botnety żyją lub umierają w zależności od komunikacji z ich serwerami CnC. Te komunikaty mogą powiedzieć naukowcom, jak duży jest botnet. Podobnie, zalew komunikatów wchodzących i wychodzących z komputera pomaga aplikacjom antymalware wykryć znanego bota. "Niestety, brak alertów antywirusowych nie jest wskaźnikiem czystego komputera", mówi Nazario. "Oprogramowanie antywirusowe po prostu nie nadąża za liczbą zagrożeń. To frustrujące, że nie mamy znacznie lepszych rozwiązań dla przeciętnego użytkownika domowego, szerzej wdrożonych."

Nawet jeśli wyjdzie na ciebie antywirusowy program antywirusowy czysty, bądź czujny. Microsoft zapewnia bezpłatne narzędzie do usuwania złośliwego oprogramowania. Jedna wersja narzędzia, dostępna zarówno z witryny Microsoft Update, jak i witryny Windows Update, jest aktualizowana co miesiąc; działa w tle w drugi wtorek każdego miesiąca i raportuje do firmy Microsoft, gdy tylko znajdzie i usunie infekcję. Możesz użyć innej wersji narzędzia do usuwania złośliwego oprogramowania, które można pobrać w witrynie firmy Microsoft w dowolnym momencie, i powinieneś uruchomić to narzędzie, jeśli zauważysz nagłą zmianę w zachowaniu komputera.

Wygrywa narzędzie do usuwania złośliwego oprogramowania. We wrześniu 2007 r. Microsoft dodał do narzędzia możliwość rozpoznania bota Storm. W ciągu nocy rozmiar botnetu Storm spadł aż o 20 procent. Od tego czasu Microsoft dodał inne powszechnie dostępne botnety do listy narzędzi, takie jak Conficker i Szribi.

Dostępne są również opcje proaktywne. BotHunter, darmowy program firmy SRI International, działa z systemami Unix, Linux, Mac OS, Windows XP i Vista. Choć zaprojektowany do pracy w sieciach, może działać na autonomicznych komputerach stacjonarnych i laptopach.

BotHunter słucha biernie ruchu internetowego za pośrednictwem twojego komputera i przechowuje dziennik wymiany danych, który zwykle występuje, gdy komputer jest zainfekowany złośliwym oprogramowaniem. Czasami, aby ulepszyć swoje definicje, BotHunter wysyła wiadomości wychodzące do międzynarodowej bazy danych zawierającej adware, oprogramowanie szpiegujące, wirusy i robaki SRI. BotHunter po raz pierwszy rozpoznał wzorce wymiany danych Confickera w listopadzie 2008 roku, na długo przed tym, jak inni dostawcy zabezpieczeń wykryli zagrożenie.

Przyszłe botnety

Jeśli tylko w celu zademonstrowania ich odporności, boty niedawno zaatakowały również telefony komórkowe. Firma Trend Micro poinformowała, że ​​złośliwe oprogramowanie Sexy View SMS w systemie operacyjnym Symbian może skontaktować się z serwerem CnC w celu pobrania nowych szablonów spamu SMS.

Chociaż botnet w telefonie komórkowym może wyglądać inaczej niż na komputerze, pomysł wynajmu sieć "posiadanych" telefonów może być opłacalna w najbliższej przyszłości. Bez względu na to, jakie boty mogą mieć formy, prawdopodobnie nie będziemy w stanie wyeliminować zagrożenia; możemy tylko nauczyć się lepiej zarządzać infekcjami botów. Ale w międzyczasie posprzątajmy jak najwięcej komputerów PC.