Koordinasyonlu Kötü Amaçlı Yazılımlar, Eradikasyona Dayanıklı Olur

Nasıl yaparsınız? Kötü bir şey daha da kötü mü? Eğer bir botnet - kötü amaçlı yazılım bulaşmış PC'lerin genellikle genişleyen bir ağını çalıştıran bir dolandırıcı iseniz - botnetweb "botnetweb" oluşturmak için botnet'leri birbirine bağlarsınız. Ve bunu bir antivirüs paketi için mücadele etmesi zor bir şekilde yapıyorsunuz.

Botnetwebs, dolandırıcıların sadece bir kerede milyonlarca PC'ye spam veya kötü amaçlı yazılım göndermesine izin vermiyor. Aynı zamanda birden fazla dosya kullanan oldukça esnek bir enfeksiyonu temsil ederler. Dezenfeksiyon girişimi bazı dosyaları ortadan kaldırabilir, ancak geride kalanlar genellikle temizlenenleri yeniden indireceklerdir.

"Bu botnetleri eğlence için geliştiren karanlık bir odada oturan bir grup inek yoktur" diyor Atif Mushtaq of FireEye, Milpitas, California, güvenlik şirketi botnetweb terimini yarattı. "Bunlar, sofistike bir iş biçiminde çalışan insanları organize ediyor."

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Geri kazandınız…

Geçmişte, kötü amaçlı yazılımlar arasında rekabet Yazarlar bazen bir enfeksiyonun rakibin bir makinede enfeksiyonu için avlanabileceği ve daha sonra onu kaldırabileceği anlamına geliyordu. Daha yakın zamanlarda dikkat çeken Conficker solucanı, makinelere bulaşmak için kullandığı Windows savunmasızlığını, diğer kötü amaçlı yazılımların neden olduğu enfeksiyonları önlemek için kapının arkasına etkili bir şekilde kapatılmasını sağladı.

FireEye, rekabetten değil, büyük çapta işbirliği ve koordinasyondan kanıt buldu. Kötü amaçlı yazılımların çalıştığı bir deniz değişikliğini temsil eden spam botnets. Şirket, botlara yürüyen siparişleri göndermek için kullanılan komut ve kontrol (C & C) sunucularını araştırdı; spam iletme veya ek kötü amaçlı dosyalar indirme dahil olabilir. Pushdo, Rustock ve Srizbi botnet'leri söz konusu olduğunda, her bir botnetin başındaki C & C sunucularının aynı barındırma tesisindeyken; sunucular için kullanılan IP adresleri de aynı aralıklar içinde kalmıştır. Farklı botnet'ler rekabet ederse, büyük olasılıkla dijital olarak ovuşturulmuş dirsekler olmazdı.

Botnetweb'in Milyonlarca PC'si Güçlü Oldu

Botnetweb'lerin daha fazla kanıtı Kaliforniya'daki bir ağ güvenlik ekipmanları şirketi olan Finjan'dan geldi. Finjan, spam, kötü amaçlı yazılım veya uzaktan kumanda komutlarını 1,9 milyon bota gönderebilecek bir C & C sunucusu bulduğunu bildirdi.

C & C sunucusunda altı yönetici hesabı ve ayrıca kirli programların önbelleği vardı. Finjan pazarlama direktörü Ophir Shalitin, Finjan'ın hangi programların hangi PC'leri enfekte ettiğini bilmediğini - veya daha da önemlisi, hangi kötü amaçlı yazılımın ilk bulaşmayı yaptığını söyledi. Firma, (şimdi geçersiz) C & C sunucusunun IP adresini Ukrayna'ya kadar takip etti ve botnet kaynaklarının günde 1000 bot başına 100 dolara kiralandığını kanıtladı.

FireEye kıdemli güvenlik araştırmacısı, dağıtılmış bir koleksiyon olan Alex Lanstein'a göre. Botnet'ler kötü adamlara birçok avantaj sağlar. Eğer yasa uygulayıcı veya güvenlik firması C & C sunucusunu tek bir botnet ağı için kapatmış olsalardı, budala hala hayatta kalan botnetlerden bir kazanç elde edebilirdi.

Bu tip botnet'leri oluşturmak genellikle "damlalık" ile başlar, Lanstein diyor ki, "sade Jane, vanilya teknikleri" ve antivirüs uygulamaları için kırmızı bir bayrak oluşturabilecek garip kodlamalar veya eylemler yok. Bir damlalık bir PC'ye girdikten sonra (genellikle bir sürücüden indirme veya bir e-posta eki yoluyla), Truva atını, Finjan'ın bulduğu sunucu tarafından gönderilen Hexzone kötü amaçlı yazılımı gibi çekebilir. Bu Hexzone varyantı ilk olarak VirusTotal'daki 39 antivirüs motorundan sadece 4 tanesi tarafından tespit edildi.

Whack-a-Mole Dezenfeksiyon

Ve bu günlerde, çoğu kötü amaçlı yazılım dosyaları genellikle dahil oluyor, bu da bir saldırganın yüzüne daha dirençli olmasını sağlıyor onu yok etme teşebbüsleri.

Lanstein'ın genellikle yetenekli bir dezenfektör olduğunu söyleyen Malwarebyte'nin RogueRemover tarafından Zeus Truva atını temizlemeye yönelik gözlemlenen bir girişimde, RogueRemover bazı dosyaları değil hepsini buldu. Birkaç dakika sonra Lanstein, C & C sunucusuyla iletişim kuran artık dosyalardan biri olduğunu ve silinen dosyaları derhal yeniden indirdiğini söylüyor.

Antivirüs üreticisi Eset ile teknik eğitim direktörü Randy Abrams, "Sadece belirli bir antivirüs aracını çalıştırarak her şeyi temizlemenin şansı orta seviyede" diyor. Abrams, Lanstein ve diğer güvenlik uzmanları, antivirüsünüzün bir enfeksiyonu "ortadan kaldırırsa", kötü amaçlı yazılımın ortadan kaldırıldığını varsaymamalısınız. RogueRemover gibi ekstra araçları indirip çalıştırabilirsiniz. HijackThis veya Eset SysInspector gibi diğerleri, PC'nizi analiz edecek ve deneyimli gönüllülerin özel tavsiye verdikleri Bleeping Computer gibi sitelerde yayınlayabileceğiniz bir günlük oluşturacaktır.

Daha iyi bir taktik PC'nizin virüs bulaşmadığından emin olmaktır. ilk sırada. Yalnızca Windows'ta değil, Adobe Reader gibi uygulamalarda da, indirme amaçlı indirme sitelerinin kullanabileceği delikleri kapatmak için güncellemeleri yükleyin. Zehirlenmiş e-posta eklerine veya diğer dosyalara karşı korunmak için beklenmeyen ekleri veya karşıdan yüklemeleri açmayın; Bir çok uzman tarafından kullanılan ücretsiz tarama sitesi olan VirusTotal ile ilgili emin olmadığınız bir şey çalıştırın.