Coordinated Malware Resists Eradication

Botnetwebs hindi lamang paganahin ang mga crooks upang magpadala ng spam o malware sa milyun-milyong PC nang sabay-sabay. Sila rin ay kumakatawan sa isang mataas na nababanat na impeksiyon na gumagamit ng maramihang mga file. Ang isang pagtatangka sa pagdidisimpekta ay maaaring alisin ang ilang mga file, ngunit ang mga natitira sa likod ay madalas na redownload ang mga scrubbed mga.

Ang mga culprits "ay hindi isang grupo ng mga nerds upo sa ilang mga madilim na silid pagbubuo ng mga botnets para sa kasiyahan," writes Atif Mushtaq ng FireEye, ang Milpitas, California, kumpanya ng seguridad na likha ang terminong

botnetweb. "Ang mga ito ay inorganisa ng mga tao na tumatakbo ito sa anyo ng isang sopistikadong negosyo." [Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ikaw Scratch My Back …

Noong nakaraan, kumpetisyon sa malware Kung minsan ang mga manunulat ay nangangahulugan na ang isang impeksiyon ay maaaring manghuli para sa impeksiyon ng isang karibal sa isang makina at pagkatapos ay alisin ito. Sa kamakailan lamang, ang nakakuha ng atensyon ng Conficker worm ay nagtagumpay sa kahinaan ng Windows na pinagsamantalahan nito upang makahawa sa mga makina, na epektibong isinara ang pinto sa likuran upang maiwasan ang mga impeksiyon ng iba pang malware.

FireEye ay nakakita ng ebidensya na hindi kumpetisyon, kundi ng pakikipagtulungan at koordinasyon sa mga pangunahing spam botnets, na kumakatawan sa isang pagbabago ng dagat sa paraan ng malware gumagana. Inimbestigahan ng kumpanya ang mga command at kontrol (C & C) na mga server na ginagamit upang magpadala ng mga order sa pagmamartsa sa mga bot, na maaaring magsama ng relaying spam o pag-download ng mga karagdagang malisyosong file. Sa kaso ng Pushdo, Rustock, at Srizbi botnets, natuklasan na ang mga server ng C & C sa pinuno ng bawat botnet ay nasa parehong pasilidad sa pag-host; ang mga IP address na ginagamit para sa mga server ay nahulog sa loob ng parehong mga saklaw. Kung ang mga disparate na botnets ay nakikipagkumpitensya, malamang na hindi sila magkaroon ng mga digital na hadhad ng mga elbow.

Ang isang Botnetweb Iyan ay Milyun-milyong mga PC na Malakas

Higit pang katibayan ng mga botnetwebs ay nagmula sa Finjan, isang network security equipment company sa California. Sinabi ni Finjan na naghanap ng isang server ng C & C na may kakayahang magpadala ng spam, malware, o mga remote control command sa isang napakalaki 1.9 milyong bot.

Ang server ng C & C ay may anim na account ng administrator, kasama ang isang cache ng mga marumi na programa. Si Ophir Shalitin, direktor sa pagmemerkado sa Finjan, ay nagsasabi na hindi alam ng Finjan kung alin sa mga programa ang maaaring nahawahan kung alin sa mga PC - o mas mahalaga, na ginawa ng malware sa unang impeksiyon. Sinusubaybayan ng kompanya ang (IP address na wala sa ngayon) IP address ng C & C sa Ukraine, at nakakita ng katibayan na ang mga botnet resources ay inupahan para sa $ 100 kada 1000 bots kada araw.

Ayon kay Alex Lanstein, isang senior security researcher ng FireEye, isang ipinamamahagi na koleksyon ng botnets ay nagbibigay sa masamang guys maraming pakinabang. Kung ang pagpapatupad ng batas o isang security firm ay mag-shut down sa C & C server para sa anumang solong botnet, ang crook ay maaari pa ring kumita mula sa mga surviving botnets.

Ang paggawa ng mga ganitong botnets ay karaniwang nagsisimula sa "dropper" na malware, sabi ni Lanstein, na ginagamit "plain-Jane, vanilla techniques" at walang kakaibang coding o pagkilos na maaaring magtaas ng pulang bandila para sa mga antivirus apps. Sa sandaling ang isang dropper ay pumasok sa isang PC (kadalasan sa pamamagitan ng pag-download sa pamamagitan ng drive o isang attachment ng e-mail), maaari itong mag-pull sa isang Troyano kabayo, tulad ng Hexzone malware na ipinadala sa pamamagitan ng server Finjan natagpuan. Na ang Hexzone variant ay una nakita ng 4 lamang ng 39 na antivirus engine sa VirusTotal.

Whack-a-Mole Disinfection

At mga araw na ito, maraming mga file ng malware ang madalas na nasasangkot, na kung saan ay gumagawa ng isang nanghihimasok na mas nababanat sa mukha ng mga pagtatangka upang matanggal ito.

Sa isang naobserbahang pagtatangka upang linisin ang kabayo ng Zeus Trojan sa pamamagitan ng RogueRemover ng Malwarebyte, na ang sabi ni Lanstein ay karaniwang may kakayahang disinfector, natagpuan ng RogueRemover ang ilan ngunit hindi lahat ng mga file. Pagkatapos ng ilang minuto, sinabi ni Lanstein, isa sa mga natirang file na nakipag-ugnayan sa server ng C & C at agad na na-redownload ang mga natanggal na file.

"Ang mga posibilidad ng paglilinis ng lahat ng ito sa pamamagitan lamang ng pagpapatakbo ng isang naibigay na antivirus tool ay katamtaman," sabi ni Randy Abrams, direktor ng teknikal na edukasyon sa antivirus maker Eset. Binibigyang-diin ng Abrams, Lanstein, at iba pang mga gurus ng seguridad na kung ang iyong antivirus ay "nagtanggal" ng isang impeksiyon, hindi mo dapat ipalagay na ang malware ay nawala. Maaari mong subukan ang pag-download at pagpapatakbo ng mga dagdag na tool, tulad ng RogueRemover. Ang iba, gaya ng HijackThis o SysInspector ng Eset, ay pag-aralan ang iyong PC at lumikha ng isang log para sa iyo na mag-post sa mga site tulad ng Bleeping Computer, kung saan ang mga bihasang boluntaryo ay nag-aalok ng pinasadyang payo.

Ang isang mas mahusay na taktika ay upang matiyak na ang iyong PC ay hindi nahawaan sa unang lugar. Mag-install ng mga update upang isara ang mga butas na maaaring magamit ng mga site na drive-by-download - hindi lamang sa Windows, kundi pati na rin sa apps tulad ng Adobe Reader. At upang bantayan laban sa mga nakakalason na e-mail attachment o iba pang mga file, huwag buksan ang anumang hindi inaasahang mga attachment o pag-download; patakbuhin ang anumang bagay na hindi ka sigurado tungkol sa pamamagitan ng VirusTotal, ang parehong libreng pag-scan ng site na ginagamit ng maraming mga eksperto.