Koordinert malware motstår utryddelse

Hvordan lager du en forferdelig ting enda verre? Hvis du er en skurk som driver et botnet - et ofte ekspansivt nettverk av malware-infiserte PCer - kobler du botnets sammen for å danne et gigantisk "botnetweb". Og du gjør det på en måte som er vanskelig for en antiviruspakke å bekjempe.

Botnetwebs gjør ikke bare skurkerne i stand til å sende spam eller skadelig programvare til millioner av PCer samtidig. De representerer også en svært robust infeksjon som bruker flere filer. Et forsøk på desinfeksjon kan eliminere noen filer, men de som blir etterlatt, vil ofte laste ned de skrubbe.

Synderne er ikke en mengde nørder som sitter i et mørkt rom som utvikler disse botnene for moro skyld, "skriver Atif Mushtaq of FireEye, Milpitas, California, sikkerhetsselskap som utgjorde begrepet botnetweb. "Disse er organisert folk som driver dette i form av en sofistikert virksomhet."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Du klipper meg tilbake …

Tidligere har konkurransen blant skadelig programvare forfattere noen ganger mente at en infeksjon kan jakte på en rivals infeksjon på en maskin og deretter fjerne den. Mer nylig har den oppsiktsvekkende Conficker-ormen patched Windows-sikkerhetsproblemet som den utnyttet for å infisere maskiner, og effektivt lukker døren bak seg selv for å hindre infeksjoner av annen malware.

FireEye fant bevis på ikke konkurranse, men samarbeid og koordinering blant større spam botnets, som representerer en havforandring i måten malware fungerer på. Selskapet undersøkte kommandoen og kontrollen (C & C) serverne som ble brukt til å sende marsjeringsordre til botsene, som kan inkludere tilbakestilling av nettsøppel eller nedlasting av flere skadelige filer. I tilfelle av Pushdo, Rustock og Srizbi botnets oppdaget det at C & C-serverne på hodet til hver botnet var i samme hosting-anlegg; IP-adressene som ble brukt for serverne, falt også innenfor de samme områdene. Hvis de forskjellige botnene hadde vært konkurrerende, ville de sannsynligvis ikke ha digitalt gniddt albuer.

En Botnetweb Det er millioner av PCer Sterk

Flere bevis på botnetwebs kom fra Finjan, et nettverkssikkerhetsselskap i California. Finjan rapporterte å finne en C & C-server i stand til å sende spam-, malware- eller fjernstyringskommandoer til en hel del 1,9 millioner bots.

C & C-serveren hadde seks administratorkontoer, pluss et cache med skitne programmer. Ophir Shalitin, markedsføringsdirektør i Finjan, sier at Finjan ikke vet hvilken av programmene som kan ha infisert hvilken av PCene - eller enda viktigere, hvilken malware gjorde den første infeksjonen. Firmaet spores den nåværende C & C-serverens IP-adresse til Ukraina, og fant bevis på at botnetressursene ble leid ut for $ 100 per 1000 roboter per dag.

Ifølge Alex Lanstein, en FireEye senior sikkerhetsforsker, en distribuert samling av botnets gir gutta mange fordeler. Hvis lovhåndhevelse eller et sikkerhetsfirma skulle stenge C & C-serveren for en enkelt botnet, ville skurken fortsatt kunne tjene penger på de overlevende botnettene.

Skaper slike botnetter starter vanligvis med "dropper" malware, sier Lanstein, som bruker "plain-Jane, vanilje-teknikker" og ingen merkelig koding eller handlinger som kan hente et rødt flagg for antivirusprogrammer. Når en dropper går inn i en PC (ofte via en nedlastingsfil eller et vedlegg), kan det trekke seg inn i en trojansk hest, for eksempel at Hexzone-malware sendes av serveren Finjan funnet. Den Hexzone-varianten ble først oppdaget av bare 4 av 39 antivirusmotorer hos VirusTotal.

Whack-a-Mole Disinfection

Og i disse dager er det ofte involvert flere malwarefiler som gjør en inntrenger mye mer motstandsdyktig i ansiktet av forsøk på å utrydde det.

I et observert forsøk på å rydde Zeus-trojanske hest av Malwarebyte's RogueRemover, som Lanstein sier er en generelt dyktig desinfiserer, fant RogueRemover noen, men ikke alle, filene. Etter et par minutter, sier Lanstein, en av de resterende filene kommunisert med sin C & C-server og omgående lastet ned de slettede filene.

"Oddsen for å rydde det hele bare ved å kjøre et gitt antivirusverktøy er moderat," sier Randy Abrams, direktør for teknisk utdanning med antivirusprodusent Eset. Abrams, Lanstein og andre sikkerhetsgurus legger vekt på at hvis antivirusprogrammet "fjerner" en infeksjon, bør du ikke anta at skadelig programvare er borte. Du kan prøve å laste ned og kjøre ekstra verktøy, som RogueRemover. Andre, for eksempel HijackThis eller Eset's SysInspector, vil analysere PCen din og lage en logg for deg å poste på nettsteder som Bleeping Computer, hvor erfarne frivillige tilbyr skreddersydd råd.

En bedre taktikk er å sikre at PCen ikke er smittet i utgangspunktet. Installer oppdateringer for å lukke hullene som kjøringssider kan utnytte - ikke bare i Windows, men også i programmer som Adobe Reader. Og for å beskytte mot forgiftede e-postvedlegg eller andre filer, må du ikke åpne uventede vedlegg eller nedlastinger. Kjør alt du ikke er sikker på gjennom VirusTotal, det samme gratis skanningsstedet som mange eksperter bruker.