Malware coordenado resiste à erradicação

Como você faz uma coisa terrível ainda pior? Se você é um bandido que opera uma rede de bots - uma rede muitas vezes expansiva de PCs infectados por malware - você liga os botnets para formar uma "botnetweb" gigantesca. E você faz isso de uma maneira que é difícil para uma suíte de antivírus lutar.

Botnetwebs não apenas permitem que bandidos enviem spam ou malware para milhões de PCs de uma só vez. Eles também representam uma infecção altamente resiliente que usa vários arquivos. Uma tentativa de desinfecção pode eliminar alguns arquivos, mas os que foram deixados para trás freqüentemente baixam novamente os que foram apagados.

Os culpados "não são um bando de nerds sentados em alguma sala escura desenvolvendo esses botnets por diversão", escreve Atif Mushtaq da FireEye. a empresa de segurança Milpitas, Califórnia, que cunhou o termo botnetweb. "Estas são pessoas organizadas executando isso na forma de um negócio sofisticado."

[Leitura adicional: Como remover malware do seu PC com Windows]

Você Scratch My Back…

No passado, a concorrência entre malware escritores às vezes significavam que uma infecção poderia caçar a infecção de um rival em uma máquina e depois removê-la. Mais recentemente, o worm Conficker, que chama a atenção, corrigiu a vulnerabilidade do Windows que ele explorava para infectar máquinas, bloqueando efetivamente a porta para evitar infecções por outros malwares. A FireEye encontrou evidências não de competição, mas de cooperação e coordenação entre as principais botnets de spam, representando uma mudança radical na forma como o malware funciona. A empresa investigou os servidores de comando e controle (C & C) usados ​​para enviar ordens aos bots, o que pode incluir a transmissão de spam ou o download de arquivos maliciosos adicionais. No caso dos botnets Pushdo, Rustock e Srizbi, descobriu-se que os servidores C & C na cabeça de cada botnet estavam na mesma instalação de hospedagem; os endereços IP usados ​​para os servidores também se enquadram nos mesmos intervalos. Se as diferentes botnets estivessem competindo, provavelmente não teriam esfregado os cotovelos digitalmente.

Uma Botnetweb é Milhões de PCs Fortes

Mais evidências de botnetwebs vieram da Finjan, uma empresa de equipamentos de segurança de rede na Califórnia. Finjan relatou ter encontrado um servidor C & C capaz de enviar spam, malware ou comandos de controle remoto para um enorme número de bots.

O servidor C & C tinha seis contas de administrador, além de um cache de programas sujos. Ophir Shalitin, diretor de marketing da Finjan, diz que Finjan não sabe qual dos programas pode ter infectado qual dos PCs - ou mais importante, qual malware causou a infecção inicial. A firma localizou o (agora extinto) endereço IP do servidor C & C na Ucrânia e encontrou evidências de que os recursos da botnet foram alugados por US $ 100 por 1000 bots por dia.

Segundo Alex Lanstein, pesquisador sênior de segurança da FireEye, uma coleção distribuída de botnets dá muitas vantagens aos malfeitores. Se a lei ou uma empresa de segurança fechasse o servidor C & C para qualquer botnet único, o criminoso ainda poderia lucrar com os botnets sobreviventes.

A criação de botnets normalmente começa com um malware "dropper", diz Lanstein, que usa "plain-Jane, vanilla techniques" e nenhuma codificação estranha ou ações que possam levantar uma bandeira vermelha para aplicativos antivírus. Uma vez que um conta-gotas entra em um PC (geralmente através de um download drive-by ou de um anexo de e-mail), ele pode puxar um cavalo de Tróia, como o malware Hexzone que está sendo enviado pelo servidor que a Finjan encontrou. A variante Hexzone foi detectada inicialmente por apenas 4 de 39 antivírus no VirusTotal.

Desinfecção por Whack-a-Mole

E atualmente, vários arquivos de malware são frequentemente envolvidos, o que torna um intruso muito mais resiliente. de tentativas de erradicá-lo

Em uma tentativa observada de limpar o cavalo de tróia de Zeus pelo RogueRemover da Malwarebyte, que, segundo Lanstein, é um desinfectador geralmente capaz, o RogueRemover encontrou alguns, mas não todos. Depois de alguns minutos, diz Lanstein, um dos arquivos que sobraram se comunicava com seu servidor C & C e baixou novamente os arquivos apagados.

"As chances de limpar tudo apenas executando uma determinada ferramenta antivírus são moderadas", diz Randy Abrams, diretor de educação técnica da fabricante de antivírus Eset. Abrams, Lanstein e outros gurus de segurança enfatizam que, se o seu antivírus "remover" uma infecção, você não deve presumir que o malware desapareceu. Você pode tentar baixar e executar ferramentas extras, como o RogueRemover. Outros, como o HijackThis ou o SysInspector da Eset, analisam o seu PC e criam um registro para você postar em sites como o Bleeping Computer, onde voluntários experientes oferecem conselhos sob medida.

Uma tática melhor é garantir que o seu PC não esteja infectado. em primeiro lugar. Instale as atualizações para fechar os buracos que os sites de drive-by-download podem explorar - não apenas no Windows, mas também em aplicativos como o Adobe Reader. E para proteger contra anexos de e-mail envenenados ou outros arquivos, não abra nenhum anexo ou download inesperado; execute qualquer coisa sobre a qual você não tenha certeza através do VirusTotal, o mesmo site gratuito que muitos especialistas usam.