Internetudbydere Rapport Succes i bekæmpelse af malware-inficerede pc'er

Computere inficeret med ondsindet software forbliver en stor hovedpine for internetudbydere, men to virksomheder har designet systemer, der har gjort problemet meget mere håndterbare.

Når en pc bliver inficeret med ondsindet software, bruges det ofte til at sende spam. Det gør internetudbyderen ser dårlig ud og suger op på båndbredde, hvilket gør netværket mere overbelastet.

True Internet, en af ​​Thailands største internetudbydere, blev ramt af et stadigt stigende antal malwareinficerede computere på sit netværk. Spam- og malware-trafikken var så alvorlig, at kunderne - de fleste af dem stadig er på opkaldsforbindelser - klagede over lave hastigheder, sagde Tanapon Chadavasu, chef for True Internets netværksoperationer.

[Yderligere læsning: Hvordan at fjerne malware fra din Windows-pc]

Problemet kostede også firmaets penge, da båndbredden er dyr i området, og der kræves mere hardware til at holde netværket i gang, sagde Chadavasu under en præsentation onsdag på Messaging Anti- Misbruger Working Group Meeting i Amsterdam.

True Internet installeret udstyr fra et New Zealand-firma kaldet Esphion, der identificerer uregelmæssig adfærd på netværket. De passive enheder identificerer angrebsmønstre, såsom deial-of-service-angreb eller nul-dag orme.

Hvis Esphions sensorer registrerer noget, såsom en stor mængde spam, sendes en advarsel til en controller, som derefter automatisk Karantæne abonnenten, sagde Chadavasu.

Hvis en abonnent derefter går online, omdirigeres de til side, der meddeler dem, at deres computer kan blive inficeret. True Internet har et partnerskab med sikkerhedsleverandøren Trend Micro til at scanne abonnenternes pc'er.

"Når de har renset computeren … vil vi give dem mulighed for at komme tilbage på nettet," sagde Chadavasu.

True Internet plejede at Kun karantæne en kunde efter to uheldige tilfælde blev opdaget, men ændrede sin politik i august i karantæne efter en hændelse, sagde Chadavasu. Spam på sit netværk faldt dramatisk, og kundernes internetsikkerhed blev forbedret.

Tæt på 70 procent af de pc'er, der er blevet sat i karantæne en eller to gange, bliver aldrig sat i karantæne igen, sagde Chadavasu, hvilket peger på bedre sikkerhedskendskab blandt forbrugerne. > "Vi synes det er meget effektivt," sagde Chadavasu.

NetCologne, en internetudbyder og kabel- og telefonudbyder i Tyskland, har taget en lignende metode til at automatisere, hvordan det handler om abonnenter, der er inficeret med malware.

NetCologne låses også ned abonnenter, der ser ud til at være involveret i en form for misbrug og giver dem mulighed for at downloade Microsoft-sikkerhedsrettelser eller endda købe sikkerhedssoftware, siger Dietmar Braun, en systemingeniør og udvikler for virksomheden. Når brugerne har renset deres system og anvendt patches, kan de automatisk blokere deres adgang.

For at identificere pc'er, der kan være inficeret med malware, opretter NetCologne en honeypot. Inficerede computere forsøger ofte at angribe andre computere på samme netværk, så honeypot er et let mål, der muliggør identifikation af abonnenten, siger Braun.

Afbrydelsesrutinen håndteres via et program NetCologne oprettet kaldet PHREAK eller Program for Honeypot induceret reaktion slutter i automatiseret dræb. Det opretter en misbrugsrapport eller billet og fortsætter derefter med at afbryde brugeren og henvise dem til sikkerhedssoftware.

Det bruges sammen med ANANAS, som står for Automatic Network Abuse Notification Analogy System. ANANAS vil automatisk reagere på misbrugsklager fra andre enheder i de fleste tilfælde, siger Braun. Det lukker sløjfen med de enheder, der har bemærket misbrug fra NetCologne's netværk.

"Vores misbrugshåndtering er i stand til at løse de fleste af billettene i en meget hurtig tid," sagde Braun. så succesfuldt, at virksomheden kun anvender en person i omkring 20 timer om ugen, der behandler misbrugsproblemer for omkring 500.000 abonnenter, siger Braun.