Malware yang diselaraskan Menentang Pemberantasan

Bagaimana anda membuat perkara yang dahsyat malah lebih buruk? Jika anda seorang penjahat yang mengendalikan botnet - rangkaian yang sering dijangkiti PC yang dijangkiti malware - anda menghubungkan botnet bersama-sama untuk membentuk "botnetweb" yang besar. Dan anda melakukannya dengan cara yang sukar bagi suite antivirus untuk bertarung.

Botnetwebs tidak hanya membenarkan Crooks menghantar spam atau malware kepada berjuta-juta PC sekaligus. Mereka juga mewakili jangkitan yang sangat berdaya tahan yang menggunakan pelbagai fail. Percubaan pada pembasmian kuman mungkin menghapuskan beberapa fail, tetapi mereka yang tertinggal akan sering melepaskan semula yang dicuci.

Penyebab "bukanlah sekumpulan nerds yang duduk di dalam beberapa bilik gelap yang membangunkan botnets ini untuk bersenang-senang," tulis Atif Mushtaq of FireEye, Milpitas, California, syarikat keselamatan yang mencipta istilah botnetweb. "Ini adalah orang-orang yang dianjurkan menjalankannya dalam bentuk perniagaan yang canggih."

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

You Scratch My Back …

Penulis kadang-kadang bermaksud bahawa satu jangkitan mungkin memburu jangkitan saingan pada mesin dan kemudian mengeluarkannya. Baru-baru ini, cacing Conficker yang menarik perhatian menumpuk kerentanan Windows yang dimanfaatkan untuk menjangkiti mesin, dengan berkesan mematikan pintu di belakangnya untuk mencegah jangkitan oleh malware lain.

FireEye mendapati bukti bukan persaingan, tetapi kerjasama dan koordinasi di kalangan major botnets spam, mewakili perubahan laut dalam cara kerja perisian hasad. Syarikat itu menyiasat pelayan perintah dan kawalan (C & C) yang digunakan untuk menghantar pesanan berbaris ke bot, yang mungkin termasuk penyampai spam atau memuat turun fail berniat jahat tambahan. Dalam kes Pushdo, Rustock, dan botnets Srizbi, ia mendapati bahawa pelayan C & C di kepala setiap botnet berada di kemudahan hosting yang sama; alamat IP yang digunakan untuk pelayan juga jatuh dalam julat yang sama. Jika botnets yang berbeza telah bersaing, mereka mungkin tidak akan menggosok siku secara digital.

Botnetweb Itu Jutaan Pcs Kuat

Lebih banyak bukti botnetwebs datang dari Finjan, sebuah syarikat peralatan keselamatan rangkaian di California. Finjan dilaporkan mencari pelayan C & C yang boleh menghantar spam, malware, atau arahan kawalan jauh ke 1.9 juta bot. Kekuatan pelayan C & C mempunyai enam akaun pentadbir, ditambah dengan cache program kotor. Ophir Shalitin, pengarah pemasaran Finjan, mengatakan Finjan tidak tahu dari mana program mungkin telah menjangkiti mana-mana PC - atau lebih penting, yang malware membuat jangkitan awal. Firma itu mengesan alamat IP pelayan C & C (sekarang tidak berfungsi) di Ukraine, dan menemui bukti bahawa sumber botnet disewa untuk $ 100 setiap 1000 bot sehari.

Menurut Alex Lanstein, penyelidik keselamatan senior FireEye, koleksi yang diedarkan botnets memberikan kelebihan orang jahat. Jika penguatkuasaan undang-undang atau firma keselamatan menutup pelayan C & C untuk botnet tunggal, penjenayah masih dapat membuat keuntungan dari botnet yang masih hidup.

Mencipta botnets seperti biasanya bermula dengan "dropper" malware, kata Lanstein, yang menggunakan "plain-Jane, teknik vanila" dan tiada pengekodan atau tindakan aneh yang boleh menimbulkan bendera merah untuk aplikasi antivirus. Sekali penitis masuk ke PC (biasanya melalui muat turun pemacu atau lampiran e-mel), ia boleh menarik kuda Trojan, seperti malware Hexzone yang dihantar oleh pelayan Finjan yang dijumpai. Bahawa varian Hexzone pada mulanya dikesan oleh hanya 4 daripada 39 enjin antivirus di VirusTotal.

Whack-a-Mole Disinfection

Dan hari ini, banyak fail malware sering terlibat, yang membuat penceroboh jauh lebih berdaya tahan di muka usaha untuk menghapuskannya.

Dalam percubaan yang diperhatikan untuk membersihkan kuda Trojan Zeus oleh RogueRemover Malwarebyte, yang dikatakan oleh Lanstein adalah penyingkiran yang umumnya mampu, RogueRemover mendapati beberapa tetapi tidak semua fail. Selepas beberapa minit, kata Lanstein, salah satu fail sisa yang dikomunikasikan dengan pelayan C & C dan segera memuat turun fail yang dipadam.

"Kemungkinan untuk membersihkan semuanya hanya dengan menggunakan alat antivirus yang diberikan sederhana," kata Randy Abrams, pengarah pendidikan teknikal dengan pembuat antivirus Eset. Abrams, Lanstein, dan pakar keselamatan lain menekankan bahawa jika antivirus anda "membuang" jangkitan, anda tidak seharusnya menganggap malware itu hilang. Anda boleh cuba memuat turun dan menjalankan alatan tambahan, seperti RogueRemover. Lain-lain, seperti HijackThis atau SysInspector Eset, akan menganalisis PC anda dan membuat log untuk anda untuk pos di laman-laman seperti Bleeping Computer, di mana sukarelawan yang berpengalaman menawarkan nasihat khusus.

Taktik yang lebih baik adalah memastikan PC anda tidak dijangkiti di tempat pertama. Pasang kemas kini untuk menutup lubang-lubang yang boleh dimanfaatkan oleh pemacu oleh muat turun - bukan hanya pada Windows, tetapi juga dalam aplikasi seperti Adobe Reader. Dan untuk menjaga terhadap lampiran e-mel yang diracuni atau fail lain, jangan buka sebarang lampiran atau muat turun yang tidak dijangka; jalankan apa sahaja yang anda tidak pasti melalui VirusTotal, tapak pengimbasan percuma yang sama yang digunakan ramai pakar