O seu PC é infestado por bot? Eis como saber

Como os fogos de artifício explodiram em quatro de julho, milhares computadores comprometidos atacaram sites do governo dos EUA. Uma botnet de mais de 200 mil computadores, infectados com uma cepa do vírus MyDoom de 2004, tentou negar o acesso legítimo a sites como os da Comissão Federal de Comércio e da Casa Branca. O assalto foi um lembrete ousado de que os botnets continuam a ser um problema enorme.

Botnets são redes desonestas de PCs "zumbis" comprometidos. Sua máquina pode ser infectada se você visitar um site e baixar um código contaminado disfarçado como um vídeo, se você visitar um site comprometido ou se um vírus tradicional ou outro malware entrar em seu sistema. Uma vez que um bot infecta seu PC, ele chama seu servidor de comando e controle (CnC) para obter instruções. Um bot é semelhante a um cavalo de Tróia tradicional; mas ao invés de simplesmente instalar um keylogger ou um ladrão de senhas (o que ele ainda pode fazer de qualquer maneira), um bot funciona com outros PCs infectados, obrigando-os a agirem juntos, de alguma forma como um computador muito grande. dinheiro para ter um bot explodir sua mensagem para milhares de máquinas; em particular, o spam farmacêutico canadense é grande agora. Outros usos para bots incluem ataques que desligam sites comerciais, muitas vezes emparelhados com uma demanda de resgate. O negócio vivo também existe no que é chamado de

fluxo rápido: Para manter sites de phishing ativos, os operadores alteram os domínios com freqüência. Botnets fornecem um meio rápido e fácil de fazê-lo e, de acordo com a empresa de segurança Kaspersky, os donos de botnets cobram muito pelo serviço. [Leia mais: Como remover malware do seu PC Windows]

Em julho, O ShadowServer Foundation, um grupo especializado no compartilhamento de informações sobre botnets, relatou que o número de botnets identificados cresceu de 1500 para 3500 nos últimos dois anos. Cada uma dessas 3500 redes pode conter vários milhares de PCs comprometidos - e qualquer PC pode ser infectado por vários bots.

Em números brutos, os Estados Unidos e a China são os lares da maioria das máquinas infectadas por bots, diz Jose Nazario, gerente de pesquisa de segurança da Arbor Networks. "Eu acho que é muito seguro para a maioria dos usuários de PC assumir que eles são parte de uma botnet", diz ele. "É uma Internet muito perigosa para a maioria das pessoas."

Detectando Infecções

Botnets vivem ou morrem dependendo das comunicações com seus servidores CnC. Essas comunicações podem dizer aos pesquisadores quão grande é uma botnet. Da mesma forma, a inundação de comunicações dentro e fora do seu PC ajuda os aplicativos antimalware a detectar um bot conhecido. "Infelizmente, a falta de alertas antivírus não é um indicador de um PC limpo", diz Nazario. "O software antivírus simplesmente não consegue acompanhar o número de ameaças. É frustrante que não tenhamos soluções significativamente melhores para o usuário doméstico médio, mais implantado."

Mesmo que a verificação do antivírus do seu PC seja exibida limpo, esteja vigilante. A Microsoft fornece uma Ferramenta de Remoção de Software Mal-Intencionado gratuita. Uma versão da ferramenta, disponível no Microsoft Update e no Windows Update, é atualizada mensalmente; Ele é executado em segundo plano na segunda terça-feira de cada mês e é reportado à Microsoft sempre que encontrar e remover uma infecção. Você pode usar outra versão da Ferramenta de Remoção de Software Mal-Intencionado, disponível para download no site da Microsoft, a qualquer momento, e executar o utilitário se notar uma mudança repentina no comportamento do seu PC.

A Ferramenta de Remoção de Software Malicioso obtém resultados. Em setembro de 2007, a Microsoft adicionou ao utilitário a capacidade de reconhecer o bot Storm. Durante a noite, o tamanho do botnet Storm foi reduzido em até 20%. Desde então, a Microsoft adicionou outros botnets predominantes à lista de ferramentas, como Conficker e Szribi.

Opções proativas também estão disponíveis. O BotHunter, um programa gratuito da SRI International, funciona com Unix, Linux, Mac OS, Windows XP e Vista. Embora projetado para redes, também pode ser executado em desktops e laptops independentes.

O BotHunter escuta passivamente o tráfego da Internet através de sua máquina e mantém um registro de trocas de dados que normalmente ocorrem quando um PC é infectado por malware. Ocasionalmente, para melhorar suas definições, o BotHunter envia mensagens de saída para um banco de dados SRI International de adware, spyware, vírus e worms. O BotHunter reconheceu pela primeira vez os padrões de troca de dados do Conficker em novembro de 2008, bem antes de outros fornecedores de segurança terem percebido a ameaça.

Futuros Botnets

Apenas para demonstrar sua resiliência, os bots invadiram recentemente os celulares também. A Trend Micro informou que o malware Sexy View SMS no sistema operacional Symbian pode contatar um servidor CnC para recuperar novos modelos de spam SMS.

Embora uma botnet em um celular possa parecer diferente de uma em um PC, a ideia de alugar uma rede de telefones "próprios" pode ser viável no futuro próximo. Independentemente da forma que os bots possam tomar, provavelmente não conseguiremos erradicar a ameaça; só podemos aprender a gerenciar melhor as infestações de bots. Mas enquanto isso, vamos limpar o máximo de PCs que pudermos.