Não seja arrastado para o exército de botnets

Os voluntários da Shadowserver, uma organização sem fins lucrativos dedicada a combater o flagelo do bot, mantêm uma contagem de quantos PCs infectados por bots veem com sua distribuição. Sensores da Internet. Em meados de junho, a contagem começou a subir drasticamente, explodindo de uma amostra entre 100.000 e 200.000 na maior parte do ano para um pico de cerca de 500.000 em meados de setembro.

Como os sensores do Shadowserver não veem cada botnet, O número total de máquinas infectadas por bot é quase certamente muito maior. E parte do aparente aumento decorre do Shadowserver ter lançado mais sensores. Mas "há claramente mais bots e PCs infectados", diz Andre M. DiMino, fundador da Shadowserver. "Há um aumento na área de superfície de infecções e consequentemente o número de bots que estamos vendo."

[Outras leituras: Como remover malware do seu PC com Windows]

Alguns especialistas associam a ascensão da botnet a um recente onda de ataques baseados na Web. Os ataques de injeção de SQL, um tipo de ataque contra aplicativos on-line, podem abrir sites vulneráveis, mas de outro modo benignos, e permitir que um hacker mal-intencionado insira código com armadilhas. Quando alguém, inadvertidamente, navega em um site envenenado, a armadilha disparada de forma invisível procura furos de software exploráveis ​​através dos quais ele pode instalar um bot ou outro malware. Uma vez que ele infecta um PC, um bot contata um servidor na Internet para pegar comandos, como roubar logins do site financeiro, de seu controlador de roubo.

"No momento em que esse salto [no número de máquinas infectadas por bots] começaram ", diz John Bambenek, um manipulador de incidentes no Internet Storm Center," houve uma rodada de ataques de injeção SQL contra milhares de sites. " O ISC é outra organização voluntária que rastreia ataques generalizados na Internet.

Sites Inocentes Sofrem

Muito parecido com o software bot que eles instalam, injeção de SQL e ataques similares na Web forçam sites de vítimas a fazerem seus lances. E eles têm um número crescente de buracos a serem atingidos: em 2007, uma empresa de segurança, a SecureWorks, encontrou 59 falhas em aplicativos que permitiam ataques de injeção de SQL. Até agora, em 2008, ele encontrou 366.

Rastrear e fechar esses buracos antes que os criminosos os encontrem pode ser um verdadeiro desafio. Basta perguntar BusinessWeek.com. Esse site era apenas a mais recente propriedade on-line de grandes nomes a sofrer um ataque. Quando verificamos o relatório de verificação do Navegação segura do Google no final de setembro em nossa pesquisa para a versão impressa da história, o relatório disse que entre as 2484 páginas da BusinessWeek.com, o gigante das buscas encontrou 213 que "resultaram no download de software malicioso". e instalado sem o consentimento do usuário "nos últimos 90 dias. O relatório não listou o site como suspeito em geral e afirmou que "a última vez que conteúdo suspeito foi encontrado neste site foi em 11/09/2008". Em resposta às nossas perguntas, um porta-voz da BusinessWeek escreveu que "o ataque afetou apenas um aplicativo dentro de uma seção específica de nosso site, e esse aplicativo foi removido".

O Grande Risco: Web Exploits

Segundo Joe Stewart, diretor de pesquisa de malware da SecureWorks, para um possível criminoso de botnet, esses ataques de exploração da Web são, de longe, a escolha preferida para distribuir códigos malignos. "É quase inédito hoje em dia que esses caras tentem enviar o anexo por e-mail", diz ele. "Mesmo os e-mails geralmente direcionam você para um site infectado."

Stewart não notou nenhum grande crescimento nos grandes botnets que ele assiste, mas ele diz que tipicamente vê um fluxo e refluxo no tamanho das redes de malware distribuídas. Quando os funcionários de TI e as empresas de antivírus detectam infecções por bots e as limpam, os criminosos respondem infectando um novo lote de PCs. "Eles estão tendo que acompanhar essas campanhas de semeadura para manter seu tamanho de botnets", diz Stewart.

Essas campanhas de disseminação normalmente empregam ataques da Web que visam plug-ins de navegador desatualizados e outros softwares vulneráveis. "Flash e RealPlayer [plug-ins] - esses são os grandes", diz Stewart. Os ataques geralmente são bem-sucedidos porque pode ser difícil para os usuários saberem quando um plug-in é antigo e suscetível, especialmente se for tão antigo a ponto de preceder atualizações automáticas.

O Personal Software Inspector (ou PSI) gratuito da Secunia pode torne essa tarefa mais fácil. Ele procurará software desatualizado e também fornecerá links para patches ou versões atualizadas. Um bom programa antivírus também ajudará, é claro, e um firewall capaz de bloquear as conexões de telefone de casa de um bot pode fornecer uma camada secundária de defesa.