Скоординированное вредоносное ПО сопротивляется устранению

Как вы делаете ужасная вещь еще хуже? Если вы мошенник, который управляет ботнетом - часто экспансивной сетью зараженных вредоносными ПК - вы связываете ботнеты вместе, чтобы сформировать гигантскую «ботнетэб». И вы делаете это так, чтобы бороться с антивирусным комплексом.

Botnetwebs не просто позволяют мошенникам отправлять спам или вредоносное ПО на миллионы компьютеров одновременно. Они также представляют собой очень устойчивую инфекцию, которая использует несколько файлов. Попытка дезинфекции может устранить некоторые файлы, но те, кто остался позади, часто перезагружают очищенные.

Преступники «не являются кучей кретинков, сидящих в какой-то темной комнате, разрабатывающей эти ботнеты для удовольствия», пишет Atif Mushtaq из FireEye, штат Калифорния, охранная компания, которая придумала термин botnetweb. «Это организованные люди, которые работают в этом сложном бизнесе».

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Вы поцарапаете мою спину …

В прошлом конкуренция среди вредоносных программ писатели иногда подразумевали, что одна инфекция может охотиться за заражением соперника на машине, а затем удалять ее. Совсем недавно захватывающий внимание червь Conficker заразил уязвимость Windows, которую он использовал для заражения компьютеров, фактически закрыв за собой дверь, чтобы предотвратить заражение другими вредоносными программами.

FireEye обнаружила доказательства не конкуренции, а сотрудничества и координации между основными спам-ботнеты, представляющие собой морское изменение в способе работы вредоносного ПО. Компания исследовала серверы управления и контроля (C & C), используемые для отправки маршевых заказов ботам, которые могут включать ретрансляцию спама или загрузку дополнительных вредоносных файлов. В случае ботнетов Pushdo, Rustock и Srizbi он обнаружил, что серверы C & C во главе каждого ботнета находятся в одном хостинге; IP-адреса, используемые для серверов, также попадали в одни и те же диапазоны. Если бы разрозненные бот-сети конкурировали, у них, вероятно, не было бы протертых локтями.

The Botnetweb Это миллионы ПК Сильные

Больше доказательств botnetwebs появилось в Finjan, компании по безопасности сетевого оборудования в Калифорнии. Finjan сообщил о поиске сервера C & C, способного отправлять команды спама, вредоносных программ или удаленных команд на колоссальные 1,9 миллиона ботов.

Сервер C & C имел шесть учетных записей администратора, а также кеш грязных программ. Офир Шалитин, директор по маркетингу Finjan, говорит, что Finjan не знает, какая из программ могла заразить какой из ПК - или что более важно, какие вредоносные программы сделали начальную инфекцию. Фирма проследила (теперь несуществующий) IP-адрес сервера C & C в Украину и обнаружила доказательства того, что ресурсы ботнета были сданы в аренду за 100 долларов за 1000 ботов в день.

По словам старшего исследователя безопасности FireEye Алекса Ланстейна, распределенная коллекция ботнетов дает плохим парням много преимуществ. Если правоохранительные органы или охранная фирма должны были закрыть сервер C & C для любого отдельного ботнета, мошенник все равно мог бы получить прибыль от выживших бот-сетей.

Создание таких бот-сетей обычно начинается с вредоносной программы «капельницы», говорит Ланштейн, которая использует «простой-Джейн, техника ванили» и не странное кодирование или действия, которые могут поднять красный флаг для антивирусных приложений. Как только капельница входит в ПК (часто с помощью загрузочного диска или вложения электронной почты), он может заразиться троянским коньком, таким как вредоносное ПО Hexzone, отправляемое сервером Finjan. Этот вариант Хекзоны был первоначально обнаружен только 4 из 39 антивирусных ядер в VirusTotal.

Дезинфекция Whack-a-Mole

И в наши дни часто задействованы несколько файлов вредоносных программ, что делает злоумышленника гораздо более устойчивым к лицу попыток искоренить его.

В наблюдаемой попытке очистить троянский конь Зевса от RogueRemover от Malwarebyte, который, по словам Лэнстейна, является дезинфектором в целом, RogueRemover обнаружил некоторые, но не все файлы. Через несколько минут, говорит Ланштейн, один из оставшихся файлов, связанных с его сервером C & C, и быстро перезагрузил удаленные файлы.

«Шансы очистить все, просто запустив данный антивирус, являются умеренными», - говорит Рэнди Абрамс, директор по техническому обучению с антивирусом Eset. Абрамс, Ланштейн и другие гуру безопасности подчеркивают, что если ваш антивирус «удаляет» инфекцию, вы не должны предполагать, что вредоносная программа ушла. Вы можете попробовать загрузить и запустить дополнительные инструменты, такие как RogueRemover. Другие, такие как HijackThis или SysInspector от Eset, проанализируют ваш компьютер и создадут журнал для публикации на сайтах, таких как Bleeping Computer, где опытные добровольцы предлагают индивидуальные советы.

Лучшая тактика - убедиться, что ваш компьютер не заражен в первую очередь. Установите обновления, чтобы закрыть отверстия, которые могли бы использовать сайты для загрузки по сети, а не только в Windows, но также и в таких приложениях, как Adobe Reader. И для защиты от отравленных вложений электронной почты или других файлов не открывайте никаких неожиданных вложений или загрузок; запускать все, что вы не уверены в VirusTotal, том же сайте бесплатного сканирования, который используют многие эксперты.