Laat je niet vastleggen in het Botnet-leger

De malware-legers groeien, met een sterke toename van het aantal computers dat zich in botnets bevindt - wijdverspreide netwerken van geïnfecteerde pc's die digitale boeven gebruiken om financiële accountgegevens te stelen, spam door te sturen en verlammende internet te lanceren aanvallen. Nu populaire websites onzichtbaar en ongewild schadelijke software kunnen verspreiden, zijn de dagen om veilig te blijven alleen al door voorzichtig te zijn waar je surft al lang verdwenen. Maar u kunt stappen ondernemen om uzelf en uw pc tegen deze bedreigingen te beschermen.

De vrijwillige witte hoeden van Shadowserver, een non-profitorganisatie die zich inzet voor het bestrijden van de botten plaag, houden een telling bij van hoeveel bot-geïnfecteerde pc's ze zien met hun verspreide Internetsensoren. Half juni begon die telling dramatisch te stijgen en explodeerde uiteindelijk van een sample-set tussen 100.000 en 200.000 voor het grootste deel van het jaar tot een piek van ongeveer 500.000 midden september.

Aangezien de sensoren van Shadowserver niet elk botnet zien, het totale aantal bot-geïnfecteerde machines is vrijwel zeker een stuk groter. En een deel van de schijnbare toename komt voort uit het feit dat Shadowserver meer sensoren heeft gelanceerd. Maar "er zijn duidelijk meer bots en geïnfecteerde pc's", zegt Andre 'M. DiMino, een oprichter van Shadowserver. "Er is een toename van het infectiegebied en dus van het aantal bots dat we tegenkomen."

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Sommige experts koppelen de botnet-opkomst aan een recente golf van web-gebaseerde aanvallen. SQL-injectieaanvallen, een vorm van aanval op online-applicaties, kunnen kwetsbare maar goedaardige websites openbreken en een kwaadwillende hacker toestaan ​​booby-trapped code in te voegen. Wanneer iemand onbewust een vergiftigde site doorbladert, jaagt de getriggerde booby-val onzichtbaar naar bruikbare softwaregaten waarmee een bot of andere malware kan worden geïnstalleerd. Zodra het een pc infecteert, neemt een bot contact op met een server op internet om opdrachten op te pikken, zoals het stelen van logins van financiële sites, van zijn stelende controller.

"Op het moment dat deze sprong [in het aantal bot-geïnfecteerde machines] gestart ", zegt John Bambenek, een incidentie-handler bij het Internet Storm Center," er was een ronde van SQL-injectieaanvallen tegen duizenden websites. " ISC is een andere vrijwilligersorganisatie die wijdverspreide internetaanvallen volgt.

Onschuldige sites lijden

Net als de bot-software die ze installeren, dwingen SQL-injectie en soortgelijke webaanvallen slachtoffers om hun biedingen uit te voeren. En ze hebben een groeiend aantal gaten om zich te richten: in 2007 ontdekte een beveiligingsbedrijf, SecureWorks, 59 fouten in toepassingen die SQL-injectie-aanvallen mogelijk maakten. Tot nu toe heeft het in 2008 366 gevonden.

Het opsporen en sluiten van die gaten voordat boeven ze vinden, kan een echte uitdaging zijn. Vraag het gewoon aan BusinessWeek.com. Die site was alleen de nieuwste grote online-eigenschap om aan een aanval te worden blootgesteld. Toen we eind september het scan-rapport van Safe Browsing van Google controleerden in ons onderzoek naar de versie van het gedrukte tijdschrift van dit verhaal, meldde het rapport dat van de 2484-pagina's van BusinessWeek.com de zoekgigant 213 had gevonden dat "resulteerde in het downloaden van schadelijke software en geïnstalleerd zonder toestemming van de gebruiker "in de afgelopen 90 dagen. In het rapport wordt de site niet als verdacht algemeen weergegeven en wordt gesteld dat "de laatste keer dat verdachte inhoud op deze site werd gevonden, zich op 09/11/2008 bevond." In antwoord op onze vragen schreef een woordvoerder van BusinessWeek dat "de aanval slechts één toepassing binnen een specifiek gedeelte van onze website trof en dat die toepassing werd verwijderd."

The Big Risk: Web Exploits

Volgens Joe Stewart, directeur van malware-onderzoek bij SecureWorks, voor een would-be botnet-crimineel zijn deze web-exploitaanvallen veruit de voorkeurskeuze voor het verspreiden van kwaadaardige code. "Het is tegenwoordig bijna ongehoord voor deze jongens om de bijlage in e-mail te verzenden," zegt hij. "Zelfs e-mails verwijzen u meestal naar een geïnfecteerde site."

Stewart heeft geen grote groei opgemerkt in de grote botnets die hij bekijkt, maar hij zegt dat hij doorgaans een eb en vloed ziet in de omvang van gedistribueerde malwaretwerken. Wanneer IT-medewerkers en antivirusbedrijven botinfecties oppakken en opruimen, reageren de boeven door een nieuwe batch pc's te infecteren. "Ze moeten deze seeding-campagnes blijven volgen om hun botnet-grootte te behouden", zegt Stewart.

Die seeding-campagnes gebruiken meestal webaanvallen die zijn gericht op verouderde browser-plug-ins en andere kwetsbare software. "Flash en RealPlayer [plug-ins] - dat zijn de grote", zegt Stewart. De aanvallen zijn vaak succesvol omdat het moeilijk kan zijn voor gebruikers om te weten wanneer een plug-in oud en gevoelig is, vooral als deze zo oud is dat deze ouder is dan automatische updates.

De gratis Personal Software Inspector (of PSI) van Secunia kan maak die taak eenvoudiger. Het zoekt naar verouderde software en biedt ook koppelingen naar patches of bijgewerkte versies. Een goed antivirusprogramma helpt natuurlijk ook, en een firewall die in staat is de bot-home-verbindingen van een bot te blokkeren, kan een tweede verdedigingslaag bieden.