Разве ваш компьютер заражен вирусом? Вот как рассказать

Как фейерверк будил 4 июля, тысячи взломанных компьютеров атаковали веб-сайты правительства США. Ботнет из более чем 200 000 компьютеров, зараженных вирусом MyDoom 2004 года, пытался отрицать законный доступ к таким сайтам, как Федеральная торговая комиссия и Белый дом. Нападение было смелым напоминанием о том, что ботнеты продолжают оставаться серьезной проблемой.

Ботнеты - это сети изгоев скомпрометированных ПК «зомби». Ваша машина может заразиться, если вы посещаете сайт и загружаете испорченный код, замаскированный под видео, если вы посещаете сам сайт, который был взломан, или если в вашу систему входит традиционный вирус или другая часть вредоносного ПО. Как только бот заражает ваш компьютер, он вызывает его командный и контрольный (CnC) сервер для получения инструкций. Бот похож на традиционный троянский конь; но вместо того, чтобы просто устанавливать кейлоггер или похититель паролей (который он все равно может сделать так или иначе), бот работает с другими зараженными компьютерами, заставляя их всех действовать сообща, в некотором роде как очень большой компьютер.

Спамеры платят большие деньги, чтобы бот взорвал свое сообщение тысячам машин; в частности, канадский фармацевтический спам сейчас большой. Другие виды использования ботов включают атаки, которые закрывают коммерческие веб-сайты, часто сопряженные с требованием выкупа. Ожидаемый бизнес также существует в так называемом быстром потоке: Чтобы поддерживать фишинговые веб-сайты активными, операторы часто меняют домены. Ботнеты предоставляют быстрое и простое средство для этого, и, по словам охранной фирмы «Касперский», владельцы бот-сетей взимают большие деньги за эту услугу.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

В июле, ShadowServer Foundation, группа, специализирующаяся на обмене информацией о ботнетах, сообщила, что количество идентифицированных бот-сетей выросло с 1500 до 3500 за последние два года. Каждая из этих сетей 3500 может содержать несколько тысяч взломанных ПК, и любой компьютер может быть заражен несколькими ботами.

В сырых номерах США и Китай являются домами большинства зараженных ботом машин, говорит Хосе Назарио, менеджер по исследованиям в области безопасности в Arbor Networks. «Я думаю, что для большинства пользователей ПК очень важно предположить, что они являются частью ботнета», - говорит он. «Это очень опасный Интернет для большинства людей».

Обнаружение инфекций

Ботнеты живут или умирают в зависимости от связи с их серверами CnC. Эти сообщения могут рассказать исследователям, насколько велик ботнет. Точно так же поток сообщений на вашем ПК и выходе из него помогает вредоносным приложениям обнаруживать известного бота. «К сожалению, отсутствие антивирусных предупреждений не является показателем чистого ПК», - говорит Назарио. «Антивирусное программное обеспечение просто не может идти в ногу с количеством угроз. Это расстраивает [что] у нас нет значительно лучших решений для среднего домашнего пользователя, более широко развернутого».

Даже если вы обнаружите, что на вашем компьютере установлен антивирус чистить, быть бдительными. Корпорация Майкрософт предоставляет бесплатное средство удаления вредоносных программ. Одна версия инструмента, доступная как из Центра обновления Майкрософт, так и из Центра обновления Windows, обновляется ежемесячно; он работает в фоновом режиме во второй вторник каждого месяца и сообщает Microsoft каждый раз, когда он находит и удаляет инфекцию. Вы можете использовать другую версию Средство удаления вредоносных программ, загружаемое на сайте Microsoft, в любое время, и вы должны запустить эту утилиту, если заметите внезапное изменение поведения вашего ПК.

Средство удаления вредоносных программ производит поиск результатов. В сентябре 2007 года Microsoft добавила в утилиту возможность распознать бот Storm. Ночью размер ботнета Storm был уменьшен на целых 20 процентов. С тех пор Microsoft добавила в список инструментов другие распространенные бот-сети, такие как Conficker и Szribi.

Также доступны активные функции. BotHunter, бесплатная программа от SRI International, работает с Unix, Linux, Mac OS, Windows XP и Vista. Хотя он предназначен для сетей, он также может работать на автономных рабочих столах и ноутбуках.

BotHunter пассивно слушает интернет-трафик через ваш компьютер и ведет журнал обмена данными, который обычно возникает, когда ПК заражен вредоносными программами. Иногда, чтобы улучшить свои определения, BotHunter отправляет исходящие сообщения в базу данных SRI International для рекламного ПО, шпионских программ, вирусов и червей. BotHunter впервые признал модели обмена данными Conficker еще в ноябре 2008 года задолго до того, как другие поставщики безопасности подхватили угрозу.

Future Botnets

Если только продемонстрировать свою отказоустойчивость, боты недавно вторглись в сотовые телефоны. Trend Micro сообщила, что вредоносная программа Sexy View SMS на мобильной ОС Symbian может связаться с сервером CnC для получения новых шаблонов спама для SMS.

В то время как ботнет на мобильном телефоне может отличаться от одного на ПК, идея сдачи в аренду сеть «принадлежащих» телефонов может быть жизнеспособной в ближайшем будущем. Независимо от формы, которую могут принять боты, мы, вероятно, не сможем искоренить угрозу; мы можем только научиться лучше управлять заражениями бота. Но пока давайте очистим как можно больше компьютеров.