Niet zien Botnetschades volgen Uw antivirus kan niet zien

Terwijl traditionele beveiligingssoftware meestal alleen inkomende communicatie en downloads voor malware inspecteert, een gratis beveiligingshulpmiddel. BotHunter correleert in plaats daarvan de tweerichtingscommunicatie tussen kwetsbare computers en hackers. BotHunter "gooit het beveiligingsparadigma om" door zich op de uitgang te concentreren, zegt Phillip Porras, een computerbeveiligingsexpert bij SRI International en een van zijn makers. Botnets zijn schaduwrijke netwerken van gecompromitteerde computers. Meestal wordt de pc geïnfecteerd met malware van e-mail of van het bezoeken van een besmette website. De infectie kan nog een tijdje blijven hangen voordat hij naar een opdracht- en besturingsserver belt die mogelijk malware downloadt of de pc inschakelt in een spam-campagne of denial-of-service-aanval.

Met BotHunter kan een netwerkbeheerder zien welk systeem aan staat een netwerk communiceert met een onbekende externe server en reageert snel om het te stoppen. BotHunter produceert een rapport met alle relevante gebeurtenissen en gebeurtenisbronnen die tot het einde van een infectie leiden. Er is een score op de waarschijnlijkheid dat de overeenkomst malware is.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

BotHunter-een applicatie die voortkwam uit het Cyber-Threat Analytics-project van SRI International - verschilt van traditioneel Intrusion Detection Systems door een logboek bij te houden van de gegevensuitwisselingen die doorgaans voorkomen wanneer een pc is geïnfecteerd met malware. Geef eenvoudig het netwerk op dat u wilt controleren en BotHunter luistert vervolgens passief, registreert anoniem verkeer en verzendt af en toe een uitgaande berichten naar een database van adware, spyware, virussen en wormen die door SRI International worden onderhouden. Momenteel verzamelt het project elke dag 10.000 nieuwe malware-gegevensuitwisselingen, aldus Porras. Hij zei dat BotHunter in november 2008 begon met het herkennen van patronen voor de uitwisseling van Conflicker-patronen, lang voordat die dreiging werd gepopulariseerd door andere beveiligingsleveranciers. Porras zegt dat zowel de database met dreigingen als de analysemotoren van BotHunter voortdurend op nauwkeurigheid worden gecontroleerd. Dit wordt gedaan door SRI-hononen te infecteren met bekende malware om te zien of BotHunter het precies detecteert.

BotHunter, dat gratis maar niet open source is, werkt met Unix, Linux, Max OS en Windows XP (zelfs op een stand-alone desktop pC's). Binnenkort wordt een Windows Vista-versie verwacht. BotHunter is niet bedoeld als vervanging voor traditionele beveiliging (firewall en antivirus), zegt Porras, maar een aanvulling. Hij zegt dat er sinds de release al 110.000 downloads wereldwijd zijn. Porras geeft toe dat er een paar zwarte hoedjes, zelfs enkele witte hoeden, online over verschillende manieren praten om BotHunter te omzeilen. Voorlopig blijft BotHunter echter een handige manier om botware op uw netwerk of thuissysteem te identificeren en daardoor te verzachten. Robert Vamosi is een freelance schrijver van computerbeveiliging die gespecialiseerd is in het afdekken van criminele hackers en malwarebedreigingen.