Συντονισμένο λογισμικό κακόβουλου λογισμικού που αντιστέκεται στην εξάλειψη

ένα φοβερό πράγμα ακόμα χειρότερο; Αν είστε απατεώνας που χρησιμοποιεί ένα botnet - ένα συχνά εκτεταμένο δίκτυο μολυσμένων με ηλεκτρονικό υπολογιστή υπολογιστών - συνδέετε τα botnets μαζί για να σχηματίσουν ένα τρομακτικό "botnetweb". Και το κάνετε με τρόπο που είναι δύσκολο για μια anti-virus σουίτα να πολεμήσει.

Οι Botnetwebs δεν επιτρέπουν μόνο στους απατεώνες να στέλνουν spam ή malware σε εκατομμύρια υπολογιστές ταυτόχρονα. Αντιπροσωπεύουν επίσης μια εξαιρετικά ανθεκτική λοίμωξη που χρησιμοποιεί πολλαπλά αρχεία. Μια προσπάθεια απολύμανσης μπορεί να εξαλείψει ορισμένα αρχεία, αλλά όσοι έχουν μείνει πίσω συχνά θα κατεβάσουν τα καθαρισμένα.

Οι ένοχοι "δεν είναι ένα μάτσο ντάντς που κάθεται σε κάποιο σκοτεινό δωμάτιο αναπτύσσοντας αυτά τα botnets για διασκέδαση", γράφει ο Atif Mushtaq του FireEye, η εταιρεία ασφάλειας της Milpitas, Καλιφόρνια, που δημιούργησε τον όρο botnetweb. "Αυτά είναι οργανωμένοι άνθρωποι που τρέχουν αυτό με τη μορφή μιας εξελιγμένης επιχείρησης."

Στο παρελθόν, ο ανταγωνισμός μεταξύ κακόβουλου λογισμικού συγγραφείς μερικές φορές σήμαινε ότι μια λοίμωξη μπορεί να κυνηγά για τη μόλυνση ενός αντιπάλου σε μια μηχανή και στη συνέχεια να την αφαιρέσει. Πιο πρόσφατα, ο σκουλήκι Conficker που προσελκύει την προσοχή έσπρωξε την ευπάθεια των Windows που εκμεταλλευόταν για να μολύνει μηχανές, κλείνοντας αποτελεσματικά την πόρτα πίσω από τον εαυτό της για να αποτρέψει τις λοιμώξεις άλλων κακόβουλων προγραμμάτων.

Η FireEye βρήκε στοιχεία όχι ανταγωνισμού, αλλά συνεργασία και συντονισμό spam botnets, που αντιπροσωπεύουν μια θαλάσσια αλλαγή στον τρόπο με τον οποίο λειτουργεί το κακόβουλο λογισμικό. Η εταιρεία διερεύνησε τους διακομιστές εντολών και ελέγχου (C & C) που χρησιμοποιούνταν για την αποστολή παραγγελιών κατά βήματα στις μποτς, οι οποίες μπορεί να περιλαμβάνουν τη μετάδοση ανεπιθύμητων μηνυμάτων ή τη λήψη πρόσθετων κακόβουλων αρχείων. Στην περίπτωση των botnet Pushdo, Rustock και Srizbi, ανακάλυψε ότι οι διακομιστές C & C που βρίσκονται στην κορυφή κάθε botnet ήταν στην ίδια φιλοξενία. οι διευθύνσεις IP που χρησιμοποιούνται για τους διακομιστές έπεσαν επίσης εντός των ίδιων περιοχών. Αν τα διαφορετικά botnets ανταγωνίζονταν, πιθανότατα δεν θα είχαν τρίβει ψηφιακά τους αγκώνες.

A Botnetweb Αυτό είναι Εκατομμύρια υπολογιστών Ισχυρό

Περισσότερες αποδείξεις botnetwebs προήλθαν από Finjan, μια εταιρεία εξοπλισμού ασφάλειας δικτύου στην Καλιφόρνια. Ο Finjan ανέφερε την εύρεση ενός διακομιστή C & C ικανού να στέλνει εντολές spam, κακόβουλου λογισμικού ή απομακρυσμένου ελέγχου σε ένα τεράστιο 1,9 εκατομμύριο bots.

Ο διακομιστής C & C είχε έξι λογαριασμούς διαχειριστή καθώς και μια προσωρινή μνήμη από βρώμικα προγράμματα. Ophir Shalitin, διευθυντής μάρκετινγκ Finjan, λέει ότι ο Finjan δεν γνωρίζει ποια από τα προγράμματα μπορεί να έχουν μολύνει τα PC - ή πιο σημαντικό, ποιο malware έκανε την αρχική μόλυνση. Η εταιρεία παρακολούθησε την διεύθυνση IP του διακομιστή C & C στην Ουκρανία και διαπίστωσε ότι οι πόροι του botnet ήταν μισθωμένοι για $ 100 ανά 1000 bots ημερησίως. Σύμφωνα με τον Alex Lanstein, ανώτερο ερευνητή ασφάλειας της FireEye, μια κατανεμημένη συλλογή από τα botnets δίνει στους κακούς πολλά πλεονεκτήματα. Εάν η επιβολή του νόμου ή μια εταιρεία ασφαλείας θα κλείσουν τον διακομιστή C & C για κάθε botnet, ο απατεώνας θα μπορούσε να αποκομίσει κέρδος από τα επιζήσαντα botnets.

Η δημιουργία τέτοιων botnet ξεκινά συνήθως με το malware "dropper", λέει ο Lanstein, "απλά-Jane, τεχνικές βανίλιας" και καμία περίεργη κωδικοποίηση ή ενέργειες που μπορεί να θέσουν κόκκινη σημαία για εφαρμογές προστασίας από ιούς. Μόλις ένα σταγονόμετρο εισέλθει σε έναν υπολογιστή (συχνά μέσω ενός προγράμματος οδήγησης ή ενός συνημμένου ηλεκτρονικού ταχυδρομείου), ενδέχεται να τραβήξει ένα δούρειο ίππο, όπως το κακόβουλο λογισμικό Hexzone που αποστέλλεται από τον διακομιστή Finjan που βρέθηκε. Αυτή η παραλλαγή Hexzone ανιχνεύθηκε αρχικά μόνο από 4 από 39 μηχανές προστασίας από ιούς στο VirusTotal.

Απολύμανση Whack-a-Mole

Και αυτές τις μέρες συχνά εμπλέκονται πολλαπλά αρχεία κακόβουλης λειτουργίας, γεγονός που καθιστά έναν εισβολέα πολύ πιο ανθεκτικό στο πρόσωπο

Σε μια προσπάθεια να καθαρίσει το δούρειο άλογο Zeus από το RogueRemover του Malwarebyte, που λέει ο Lanstein είναι ένας γενικά ικανός απολυμαντής, ο RogueRemover βρήκε μερικούς αλλά όχι όλους τους φακέλους. Μετά από λίγα λεπτά, λέει ο Lanstein, ένα από τα αρχεία που απομένουν επικοινωνούσε με το διακομιστή C & C του και αμέσως ανακατέγραψε τα διαγραμμένα αρχεία.

"Οι πιθανότητες καθαρισμού του συνόλου μόνο με τη λειτουργία ενός συγκεκριμένου εργαλείου εντοπισμού ιών είναι μέτριες", λέει ο Randy Abrams, διευθυντής της τεχνικής εκπαίδευσης με τον κατασκευαστή antivirus Eset. Ο Abrams, ο Lanstein και άλλοι γκουρού ασφαλείας υπογραμμίζουν ότι αν το antivirus σας «αφαιρεί» μια λοίμωξη, δεν πρέπει να υποθέσετε ότι το κακόβουλο λογισμικό έχει φύγει. Μπορείτε να δοκιμάσετε να κατεβάσετε και να χρησιμοποιήσετε επιπλέον εργαλεία, όπως το RogueRemover. Άλλοι, όπως το HijackThis ή ο SysInspector του Eset, θα αναλύσουν τον υπολογιστή σας και θα δημιουργήσουν ένα αρχείο καταγραφής για να δημοσιεύσετε σε ιστότοπους όπως το Bleeping Computer, όπου έμπειροι εθελοντές προσφέρουν προσαρμοσμένες συμβουλές.

Μια καλύτερη τακτική είναι να βεβαιωθείτε ότι ο υπολογιστής σας δεν είναι μολυσμένος καταρχήν. Εγκαταστήστε ενημερώσεις για να κλείσετε τις τρύπες που ενδέχεται να εκμεταλλευτούν οι ιστότοποι με δυνατότητα αναζήτησης - όχι μόνο στα Windows, αλλά και σε εφαρμογές όπως το Adobe Reader. Και για να αποφύγετε τα δηλητηριασμένα συνημμένα ηλεκτρονικού ταχυδρομείου ή άλλα αρχεία, μην ανοίγετε τυχόν απροσδόκητα συνημμένα ή λήψεις. εκτελέστε οτιδήποτε δεν είστε σίγουροι μέσω του VirusTotal, του ίδιου ελεύθερου ιστότοπου σάρωσης που χρησιμοποιούν πολλοί ειδικοί.