Internettleverandører Rapporter suksess i bekjempelse av skadelig programvare

Datamaskiner infisert med ondsinnet programvare forblir store hodepine for Internett-leverandører, men to selskaper har designet systemer som har gjort problemet mye mer håndterlig.

Når en PC blir smittet med skadelig programvare, brukes den ofte til å sende spam. Det gjør Internett-leverandøren ser dårlig ut og suger opp båndbredden, noe som gjør nettverket mer overbelastet.

True Internet, en av Thailands største Internett-leverandører, ble rammet av et stadig økende antall malwareinfiserte datamaskiner på nettverket. Spam- og malware trafikken var så alvorlig at kundene, de fleste av dem fortsatt er på oppringt tilkobling, klaget over langsomme hastigheter, sa Tanapon Chadavasu, leder av True Internets nettverksoperasjoner.

[Videre lesing: Hvordan for å fjerne malware fra din Windows-PC]

Problemet kostet også selskapets penger, siden båndbredden er dyr i området, og det var nødvendig med mer maskinvare for å holde nettverket i gang, sa Chadavasu under en presentasjon onsdag på Messaging Anti- Misbruk av arbeidsgruppemøte i Amsterdam.

True Internet-installert utstyr fra et New Zealand-firma kalt Esphion som identifiserer uregelmessig oppførsel på nettverket. Passive enheter identifiserer angrepsmønstre, for eksempel angrep på nektet eller nulldags ormer.

Hvis Esphions sensorer oppdager noe, som for eksempel en stor mengde spam, sendes et varsel til en kontroller, som deretter automatisk Karantene abonnenten, sa Chadavasu.

Hvis en abonnent deretter går online, blir de omdirigert til siden som gir beskjed om at datamaskinen kan bli infisert. True Internet har et partnerskap med sikkerhetsleverandøren Trend Micro for å skanne abonnentens PCer.

"Når de har renset datamaskinen … vil vi tillate dem å komme seg tilbake på nettet," sa Chadavasu.

True Internet pleide å Bare karantene en kunde etter at to dårlige hendelser ble oppdaget, men endret sin policy i august i karantene etter en hendelse, sa Chadavasu. Spam på nettverket falt dramatisk, og kundenes Internett-sikkerhet forbedret.

Tett på 70 prosent av PCene som har blitt karantene en eller to ganger, blir aldri karantene igjen, sier Chadavasu, noe som peker på bedre sikkerhetsbevissthet hos forbrukerne.

"Vi tror det er veldig effektivt," sa Chadavasu.

NetCologne, en ISP og kabel- og telefonleverandør i Tyskland, har hatt en lignende tilnærming til å automatisere hvordan det handler om abonnenter smittet med skadelig programvare.

NetCologne låses også ned abonnenter som ser ut til å være engasjert i en form for misbruk og gir dem mulighet til å laste ned Microsoft-sikkerhetsoppdateringer eller til og med kjøpe sikkerhetsprogramvare, sier Dietmar Braun, systemingeniør og utvikler for selskapet. Når brukerne har rengjort systemet og påførte patcher, kan de automatisk blokkere tilgangen deres.

For å identifisere PCer som kan være infisert med skadelig programvare, oppretter NetCologne en honeypot. Infiserte datamaskiner forsøker ofte å angripe andre datamaskiner på samme nettverk, slik at honeypoten er et enkelt mål som muliggjør identifikasjon av abonnenten, sier Braun.

Frakoblingsrutinen håndteres gjennom et program NetCologne opprettet kalt PHREAK, eller Program for Honeypot-induksjonsreaksjon slutter i automatisert drep. Det oppretter en misjonsrapport eller billett, og fortsetter deretter å koble fra brukeren og lede dem til sikkerhetsprogramvaren.

Det brukes i samarbeid med ANANAS, som står for automatisk nettverksmisbrukmeldingsanalogysystem. ANANAS vil svare på misbruksklager fra andre enheter automatisk i de fleste tilfeller, sa Braun. Det lukker løkken med de enhetene som har lagt merke til misbruk som kommer fra NetCologne-nettverket.

"Misbrukshåndtering er i stand til å løse de fleste av billettene på en veldig rask tid," sa Braun. så vellykket at selskapet bare sysselsetter en person i om lag 20 timer i uken som behandler misbruksproblemer for noen 500 000 abonnenter, sa Braun.