Koordinerad malware motstår utrotning

Botnetwebs gör det inte bara möjligt för skurkar att skicka skräppost eller skadlig kod till miljontals datorer samtidigt. De representerar också en mycket robust infektion som använder flera filer. Ett försök att desinficera kan eliminera vissa filer, men de som lämnas kommer ofta att ladda ner de skrubbade.

De skyldiga "är inte en massa nördar som sitter i ett mörkt rum som utvecklar dessa botnät för skojs skull", skriver Atif Mushtaq of FireEye, Milpitas, Kalifornien, säkerhetsföretag som myntade termen

botnetweb. " [Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Du klarar av mina …

Tidigare har konkurrensen bland malware författare menade ibland att en infektion kan jakten på en rival infektion på en maskin och sedan ta bort den. Mer sistnämnd patched den uppmärksamhetsfyllda Conficker-masken Windows-sårbarheten som den utnyttjade för att infektera maskiner, och stängde effektivt dörren bakom sig för att förhindra infektioner av annan skadlig kod. FireEye fann bevis för konkurrens utan samverkan och samordning mellan större spam botnets, som representerar en förändring i hur malware fungerar. Företaget undersökte kommandot och kontrollen (C & C) servrar som används för att skicka marscheringsorder till botsarna, vilket kan innefatta vidarebefordran av skräppost eller nedladdning av ytterligare skadliga filer. När det gäller Pushdo, Rustock och Srizbi botnets upptäckte den att C & C-servrarna på huvudet på varje botnet var i samma värdfacilitet; IP-adresserna som användes för servrarna föll också inom samma område. Om de olika botnetsna hade tävlat skulle de troligen inte ha digitalt gnidade armbågar.

En Botnetweb Det är miljontals PCer Starkt

Ytterligare bevis på botnetwebs kom från Finjan, ett nätverkssäkerhetsföretag i Kalifornien. Finjan anmälde att hitta en C & C-server som kunde skicka spam, malware eller fjärrstyrningskommandon till en hel del 1,9 miljoner bots.

C & C-servern hade sex administratörskonton plus en cache av smutsiga program. Ophir Shalitin, marknadschef för Finjan, säger att Finjan inte vet vilka av programmen som kan ha infekterat vilken av datorerna - eller mer viktigt, vilken malware gjorde den första infektionen. Företaget spårade den nuvarande C & C-serverns IP-adress till Ukraina och fann bevis för att botnetresurserna hyrdes ut för 100 dollar per 1000 bots per dag.

Enligt Alex Lanstein, en FireEye senior säkerhetsforskare, en distribuerad samling av botnets ger skurkar många fördelar. Om brottsbekämpning eller ett säkerhetsföretag skulle stänga av C & C-servern för en enda botnät, kunde skurken fortfarande dra nytta av de överlevande botnäten.

Skapa sådana botnät börjar vanligtvis med "dropper" malware, säger Lanstein, som använder "plain-Jane, vaniljtekniker" och ingen konstig kodning eller åtgärder som kan höja en röd flagga för antivirusprogram. När en dropper går in på en dator (ofta via en nedladdningsbar eller en bifogad e-post), kan den dra in en trojansk häst, till exempel att Hexzone-malware skickas av servern Finjan. Den Hexzone-varianten upptäcktes initialt av endast 4 av 39 antivirusmotorer hos VirusTotal.

Whack-a-Mole Disinfection

Och idag är flera malwarefiler ofta inblandade, vilket gör en inkräktare mycket mer fjädrande i ansiktet av försök att utrota det.

I ett observerat försök att rengöra Zeus Trojans häst av Malwarebyte's RogueRemover, som Lanstein säger är en allmänt skicklig desinfektör, hittade RogueRemover några men inte alla filer. Efter några minuter, säger Lanstein, en av de överblivna filerna kommunicerade med sin C & C-server och omedelbart omfördelade de borttagna filerna.

"Oddsen att städa upp allt genom att köra ett visst antivirusverktyg är måttliga", säger Randy Abrams, chef för teknisk utbildning med antivirusproducent Eset. Abrams, Lanstein och andra säkerhetsguruer betonar att om ditt antivirus "tar bort" en infektion, bör du inte anta att skadlig programvara är borta. Du kan försöka ladda ner och köra extra verktyg, som RogueRemover. Andra, som HijackThis eller Eset's SysInspector, kommer att analysera din dator och skapa en logg för att du ska kunna posta på platser som Bleeping Computer, där erfarna volontärer erbjuder skräddarsydda råd.

En bättre taktik är att din PC inte smittas för det första. Installera uppdateringar för att stänga de hål som webbplatser som körs för nedladdning kan utnyttja - inte bara i Windows, men även i appar som Adobe Reader. Och för att skydda mot förgiftade e-postbilagor eller andra filer, öppna inte några oväntade bilagor eller nedladdningar. köra allt du inte är säker på genom VirusTotal, samma gratis skanningssida som många experter använder.