Koordinoitu haittaohjelma vastustaa tuhoamista

Miten kauhea asia vielä pahempaa? Jos olet hyökkääjä, joka käyttää botnetia - usein laaja-alainen haittaohjelmien avulla tartunnan saaneiden tietokoneiden verkko - yhdistät botnet-verkon muodostamaan gargantua "botnetweb". Ja teet sen tavalla, joka on vaikeaa virustorjuntaohjelmiston torjumiseksi.

Botnetwebs ei vain salli rohkeita lähettää haittaohjelmia miljoonille tietokoneille kerralla. Ne edustavat myös erittäin joustavaa infektiota, joka käyttää useita tiedostoja. Desinfiointiyritys saattaa poistaa joitain tiedostoja, mutta jäljelle jääneet usein lataavat uudelleen puhdistetut.

Syytökset "eivät ole joukko nälkää, jotka istuvat pimeässä huoneessa, joka kehittää näitä botnet-verkkoja hauskasti", kirjoittaa Firetify Atif Mushtaq, botnetweb -sähkötarkastaja Milpitas, Kalifornia.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Sinä raaputat takaisin …

Aikaisemmin haittaohjelmien välinen kilpailu kirjoittajat toisinaan merkitsivät sitä, että yksi infektio voisi metsästää kilpailijan infektiota koneessa ja poistaa sen sitten. Viime aikoina huomion kohteena oleva Conficker-mato korjasi Windows-haavoittuvuuden, jota se käyttää hyväkseen tarttua koneisiin, sulkemalla tehokkaasti ovet itsensä takia muiden haittaohjelmien tartuntojen estämiseksi.

FireEye ei löytänyt todisteita kilpailusta vaan yhteistyöstä ja koordinoinnista tärkeimpien roskapostiviestit, jotka edustavat meren muutosta haittaohjelmien tapaan. Yhtiö tutki komento- ja ohjaus- (C & C) -palvelimet, joita käytetään lähettävien tilausten lähettämiseen botille, joihin saattaa sisältyä roskapostin välittäminen tai muiden haittaohjelmien lataaminen. Pushdon, Rustockin ja Srizbi-botnetin tapauksessa havaittiin, että kunkin botnetin päällä olevat C & C-palvelimet olivat samassa isännöintilaitoksessa; palvelimiin käytetyt IP-osoitteet olivat myös samat alueet. Jos eri botnet-verkot olivat kilpailleet, ne eivät todennäköisesti olisi digitaalisesti hankautuneet kyynärpäät.

Botnetweb Millions of PCs Strong

Lisää näyttöä botnetwebsistä tuli Finjanilta, Kalifornian verkkoturvallisuuslaitteistoyritykseltä. Finjan kertoi löytävänsä C & C-palvelimen, joka pystyi lähettämään roskapostin, haittaohjelmien tai kaukosäätimen komentoja 1,9 miljoonalle botsille.

C & C-palvelimessa oli kuusi pääkäyttäjän tiliä sekä likaisten ohjelmien välimuisti. Finjanin markkinointijohtaja Ophir Shalitin sanoo, että Finjan ei tiedä, kumpi ohjelmista olisi saattanut tarttua tietokoneisiin - tai mikä tärkeämpää, mitä haittaohjelmat tekivät alkuperäisen tartunnan. Yrityksen jäljitettiin (nyt puuttuu) C & C-palvelimen IP-osoite Ukrainaan ja löysimme todisteita siitä, että botnet-resurssit vuokrataan 100 dollaria 1000 paljastinta päivässä.

Alex Lansteinin, FireEye: n johtavan tietoturva-tutkijan, botnetistä antaa roistoille monia etuja. Jos lainvalvonta tai tietoturvayhtiö lopettaisi C & C-palvelimen mille tahansa yksittäiselle botnetille, haitta voisi silti tuottaa voittoa eloonjääneistä botnet-verkkoista.

Tällaisten botnet-verkkojen luominen alkaa tyypillisesti "dropper" -haittaohjelmilla, Lanstein sanoo. "tavallinen Jane, vaniljatekniikat" eikä mitään kummallista koodausta tai toimia, jotka voivat nostaa punaisen lipun virustorjuntaohjelmille. Kun pudotin saapuu tietokoneeseen (usein asema-latauksen tai sähköpostin liitetiedoston kautta), se saattaa vetää Troijan hevosen, kuten esimerkiksi Finjanin palvelimen lähettämän Hexzone-haittaohjelman.

Tarkoitettu yritys puhdistaa Zeuksen Troijan hevosella Malwarebyte's RogueRemover, joka Lanstein sanoo olevan yleisesti kykenevä desinfector, RogueRemover löysi joitakin mutta ei kaikkia tiedostoja. Muutaman minuutin kuluttua Lanstein sanoo, että yksi jäljellä olevista tiedostoista oli yhteydessä C & C-palvelimeen ja ladannut nopeasti poistetut tiedostot.

"Kertoimet sen puhdistamisesta vain tietyn antivirus työkalun avulla ovat kohtalaisia", sanoo teknisen koulutuksen johtaja Randy Abrams virustentorjuntaohjelmalla Eset. Abrams, Lanstein ja muut tietoturvakurssit korostavat, että jos virustentorjasi "poistaa" infektion, sinun ei pidä olettaa, että haittaohjelma on kadonnut. Voit yrittää ladata ja käyttää ylimääräisiä työkaluja, kuten RogueRemover. Muut, kuten HijackThis tai Eset's SysInspector, analysoivat tietokoneesi ja luo lokin, jotta voit lähettää sellaisia ​​sivustoja, kuten Bleeping Computer, jossa kokeneet vapaaehtoiset tarjoavat räätälöityjä neuvoja.

Parempi taktiikka on varmistaa, että tietokoneesi ei ole saastunut ensinnäkin. Asenna päivitykset sulkemaan reitit, joita ladattavat sivustot saattavat hyödyntää - ei pelkästään Windowsissa, vaan myös sovelluksissa, kuten Adobe Readerissä. Älä suojaa myrkyttyjä sähköpostiliitteitä tai muita tiedostoja, älä avaa odottamattomia liitteitä tai latauksia. suorita mitään, mitä et ole varma VirusTotalilla, samaa vapaata skannausaluetta, jota monet asiantuntijat käyttävät.