Gecoördineerde malware is bestand tegen uitroeiing

Hoe maakt u een vreselijk iets nog erger? Als je een boef bent die een botnet bestuurt - een vaak uitgebreid netwerk van met malware geïnfecteerde pc's - koppel je botnets aan elkaar om een ​​gigantisch 'botnetweb' te vormen. En je doet het op een manier die moeilijk is voor een antivirus-suite om te vechten.

De schuldigen "zijn geen stelletje nerds die in een donkere kamer zitten en deze botnets voor de lol ontwikkelen", schrijft Atif Mushtaq van FireEye, het beveiligingsbedrijf Milpitas, Californië, dat de term

botnetweb bedacht. "Dit zijn georganiseerde mensen die dit in de vorm van een geavanceerd bedrijf uitvoeren." [Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

U krast mijn rug …

In het verleden was concurrentie tussen malware schrijvers meenden soms dat een infectie mogelijk op de machine van een rivaal op een machine zou jagen en deze dan verwijderen. Meer recentelijk herstelde de opvallende Conficker-worm de kwetsbaarheid van Windows die werd misbruikt om machines te infecteren, waardoor de deur feitelijk achter zichzelf werd gesloten om infecties door andere malware te voorkomen. FireEye vond geen bewijs van concurrentie, maar van samenwerking en coördinatie tussen grote spam-botnets, wat een verandering in de manier waarop malware werkt, verandert. Het bedrijf onderzocht de commando- en control-servers (C & C) die werden gebruikt om marsorders naar de bots te verzenden, waaronder mogelijk het doorgeven van spam of het downloaden van extra kwaadaardige bestanden. In het geval van de botnets Pushdo, Rustock en Srizbi ontdekte het dat de C & C-servers aan het hoofd van elk botnet zich in dezelfde hostingfaciliteit bevonden; de IP-adressen die voor de servers worden gebruikt, vielen ook binnen hetzelfde bereik. Als de verschillende botnets met elkaar zouden concurreren, hadden ze waarschijnlijk geen digitale ellebogen gewreven.

Een botnetweb Dat is miljoenen pc's krachtig

Meer bewijzen voor botnetwebs kwamen van Finjan, een netwerkbeveiligingsapparatuurbedrijf in Californië. Finjan rapporteerde het vinden van een C & C-server die in staat is om spam, malware of commando's op afstand te sturen naar maar liefst 1,9 miljoen bots. De C & C-server had zes beheerdersaccounts, plus een cache van vuile programma's. Ophir Shalitin, marketing director bij Finjan, zegt dat Finjan niet weet welke van de programma's welke van de pc's hebben geïnfecteerd - of nog belangrijker, welke malware de eerste infectie heeft veroorzaakt. Het bedrijf traceerde het IP-adres van de (nu ter ziele gegane) C & C-server naar Oekraïne en vond aanwijzingen dat de botnetbronnen werden verhuurd voor $ 100 per 1000 bots per dag.

Volgens Alex Lanstein, een senior beveiligingsonderzoeker van FireEye, een gedistribueerde verzameling van botnets geeft slechteriken veel voordelen. Als wetshandhaving of een beveiligingsbedrijf de C & C-server zou sluiten voor een enkel botnet, zou de boef nog steeds winst kunnen maken met de overgebleven botnets.

Het maken van dergelijke botnets begint meestal met "dropper" -malware, zegt Lanstein, die gebruikt "plain-Jane, vanille-technieken" en geen vreemde codering of acties die een rode vlag kunnen oproepen voor antivirus-apps. Zodra een druppelaar op een pc komt (vaak via een drive-by-download of een e-mailbijlage), kan het een Trojaans paard binnenhalen, zoals de Hexzone-malware die wordt verzonden door de server die Finjan heeft gevonden. Die Hexzone-variant werd aanvankelijk gedetecteerd door slechts 4 van de 39 antivirusengines op VirusTotal.

Whack-a-Moldesinfectie

En tegenwoordig zijn er vaak meerdere malwarebestanden bij betrokken, waardoor een indringer veel veerkrachtiger is in het gezicht van pogingen om het uit te roeien.

In een waargenomen poging om het Zeus-paard van Troje schoon te maken door RogueRemover van Malwarebyte, waarvan Lanstein zegt dat het een algemeen capabele desinfector is, vond RogueRemover enkele maar niet alle bestanden. Na een paar minuten zegt Lanstein, een van de overgebleven bestanden gecommuniceerd met zijn C & C-server en prompt de verwijderde bestanden opnieuw gedownload.

"De kansen om alles op te ruimen door alleen een bepaald antivirusprogramma uit te voeren, zijn matig", zegt Randy Abrams, directeur van technisch onderwijs met antivirusmaker Eset. Abrams, Lanstein en andere beveiligingsgoeroes benadrukken dat als je antivirus een infectie "verwijdert", je niet moet aannemen dat de malware verdwenen is. U kunt proberen extra hulpprogramma's te downloaden en uit te voeren, zoals RogueRemover. Anderen, zoals HijackThis of SysInspector van Eset, analyseren uw pc en maken een logboek voor u om te plaatsen op sites als Bleeping Computer, waar ervaren vrijwilligers advies op maat bieden.

Een betere tactiek is ervoor te zorgen dat uw pc niet is geïnfecteerd in de eerste plaats. Installeer updates om de gaten te dichten die Drive-by-download-sites kunnen misbruiken, niet alleen in Windows, maar ook in apps zoals Adobe Reader. En om onverwachte e-mailbijlagen of andere bestanden te beschermen, open geen onverwachte bijlagen of downloads; voer alles uit waar u niet zeker van bent via VirusTotal, dezelfde gratis scansite die veel experts gebruiken.