Koordineret malware modstår udryddelse

Hvordan laver du en forfærdelig ting endnu værre? Hvis du er en skurk, der driver et botnet - et ofte ekspansivt netværk af malware-inficerede pc'er - knytter du bundnets sammen til et gigantisk "botnetweb". Og du gør det på en måde, der er svært for, at en antiviruspakke kæmper.

Botnetwebs gør det ikke bare muligt for skurke at sende spam eller malware til millioner af pc'er på én gang. De repræsenterer også en stærkt modstandsdygtig infektion, der bruger flere filer. Et forsøg på desinfektion kan fjerne nogle filer, men de, der efterlades, genbruger ofte de skrubede.

Synderne er ikke en flok nørder, der sidder i et mørkt rum, der udvikler disse botnets til sjov ", skriver Atif Mushtaq fra FireEye, Milpitas, Californien, sikkerhedsfirma, der udgjorde udtrykket botnetweb. "Disse er organiserede mennesker, der kører dette i form af en sofistikeret forretning."

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Du klipper min tilbage …

Tidligere har konkurrencen blandt malware forfattere betød undertiden, at en infektion måske ville jage for en rival infektion på en maskine og derefter fjerne den. For nylig patcherede den opmærksomme grabbende Conficker orm Windows sikkerhedsspørgsmål, som den udnyttede til at inficere maskiner, effektivt lukker døren bag sig selv for at forhindre infektioner af anden malware. FireEye fandt bevis for ikke at være konkurrencedygtige, men af ​​samarbejde og koordinering blandt større spam botnets, der repræsenterer en havforandring i den måde malware fungerer på. Virksomheden undersøgte kommandoer og kontrol (C & C) servere brugt til at sende marchordrer til bots, hvilket kan omfatte udsendelse af spam eller downloade yderligere ondsindede filer. I tilfælde af Pushdo, Rustock og Srizbi-botnets opdagede det, at C & C-serverne i hovedet på hver botnet var i samme hosting-facilitet; IP-adresserne, der blev brugt til serverne, faldt også inden for de samme områder. Hvis de uensartede botnets havde konkurreret, ville de sandsynligvis ikke have digitalt gnidte albuer.

En Botnetweb, der er millioner af pc'er Stærk

Flere beviser for botnetwebs kom fra Finjan, et netværkssikkerhedsudstyrselskab i Californien. Finjan rapporterede at finde en C & C-server, der er i stand til at sende spam-, malware- eller fjernstyringskommandoer til en kæmpe 1,9 millioner bots.

C & C-serveren havde seks administratorkonti plus en cache af beskidte programmer. Ophir Shalitin, marketingchef for Finjan, siger, at Finjan ikke ved, hvilke af programmerne der måske har inficeret, hvilken af ​​pc'erne - eller vigtigere, hvilken malware, der lavede den første infektion. Firmaet spores den (nu defunct) C & C-serverens IP-adresse til Ukraine og fandt bevis for, at botnetressourcerne blev udlejet til $ 100 pr. 1000 bots om dagen.

Ifølge Alex Lanstein, en FireEye-senior sikkerhedsforsker, en distribueret samling af botnets giver onde fyre mange fordele. Hvis en retshåndhævende myndighed eller et sikkerhedsfirma skulle lukke C & C-serveren til en enkelt botnet, kunne skurken stadig udnytte de overlevende botnets.

Oprettelse af sådanne botnets starter typisk med "dropper" malware, siger Lanstein, der bruger "plain-Jane, vanille teknikker" og ingen mærkelig kodning eller handlinger, der kan rejse et rødt flag til antivirus apps. Når en dropper kommer ind på en pc (ofte via en download-download eller en vedhæftet fil), kan den trække i en trojansk hest, som f.eks. Hexzone-malware, der sendes af serveren Finjan. Den Hexzone-variant blev oprindeligt registreret af kun 4 ud af 39 antivirusmotorer hos VirusTotal.

Whack-a-Mole Disinfection

Og i disse dage er der ofte involveret flere malware filer, hvilket gør en indtrenger meget mere modstandsdygtig i ansigtet af forsøg på at udrydde det.

I et observeret forsøg på at rense Zeus Trojan hest af Malwarebyte's RogueRemover, som Lanstein siger er en generelt dygtig desinfektør, fandt RogueRemover nogle, men ikke alle, filerne. Efter et par minutter, siger Lanstein, at en af ​​de resterende filer kommunikeres med sin C & C-server og straks downloadede de slettede filer igen.

"Oddsene ved at rydde det hele ved at køre et givet antivirusværktøj er moderate," siger Randy Abrams, direktør for teknisk uddannelse med antivirusproducent Eset. Abrams, Lanstein og andre sikkerhedsguruer understreger, at hvis dit antivirus "fjerner" en infektion, bør du ikke gå ud fra, at malware er væk. Du kan prøve at downloade og køre ekstra værktøjer, som RogueRemover. Andre, som HijackThis eller Eset's SysInspector, vil analysere din pc og oprette en logbog, som du kan sende til steder som Bleeping Computer, hvor erfarne frivillige tilbyder skræddersyede råd.

En bedre taktik er at sikre, at din pc ikke er inficeret i første omgang. Installer opdateringer for at lukke de huller, der køresider kan udnytte - ikke kun i Windows, men også i apps som Adobe Reader. Og for at beskytte mod forgiftede e-mail-vedhæftede filer eller andre filer må du ikke åbne uventede vedhæftede filer eller downloads; Kør alt, hvad du ikke er sikker på gennem VirusTotal, det samme gratis scanningssted, som mange eksperter bruger.