Malware coordinato resiste all'eradicazione

Come si fa una cosa terribile ancora peggio? Se sei un truffatore che gestisce una botnet - una rete spesso estesa di PC infettati da malware - colleghi le botnet insieme per formare un "botnetweb" gigantesco. E lo fai in un modo difficile da combattere per una suite di antivirus.

I Botnetweb non consentono solo ai criminali di inviare spam o malware a milioni di PC contemporaneamente. Rappresentano anche un'infezione altamente resiliente che utilizza più file. Un tentativo di disinfezione potrebbe eliminare alcuni file, ma quelli lasciati indietro spesso riscaricheranno quelli sfregati.

I colpevoli "non sono un gruppo di nerd che si siedono in una stanza buia a sviluppare queste botnet per divertirsi", scrive Atif Mushtaq di FireEye, la Milpitas, California, compagnia di sicurezza che ha coniato il termine botnetweb. "Queste sono persone organizzate che gestiscono questo sotto forma di un business sofisticato."

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Scratch My Back …

In passato, la concorrenza tra malware gli scrittori a volte significavano che un'infezione poteva cacciare l'infezione di un rivale su una macchina e quindi rimuoverla. Più recentemente, il worm Conficker ha catturato l'attenzione della vulnerabilità di Windows che ha sfruttato per infettare le macchine, chiudendo efficacemente la porta per prevenire infezioni da altri malware.

FireEye ha trovato prove non di concorrenza, ma di cooperazione e coordinamento tra i maggiori botnet spam, che rappresentano un cambiamento epocale nel modo in cui il malware funziona. La società ha studiato i server di comando e controllo (C & C) utilizzati per inviare ordini di marcia ai bot, che potrebbero includere l'inoltro di spam o il download di file dannosi aggiuntivi. Nel caso delle botnet Pushdo, Rustock e Srizbi, ha scoperto che i server C & C in testa a ciascuna botnet erano nella stessa struttura di hosting; anche gli indirizzi IP utilizzati per i server rientravano negli stessi intervalli. Se le disparate botnet erano state in competizione, probabilmente non avrebbero gomito digitato digitalmente.

Un Botnetweb Questo è milioni di PC Strong

Altre prove di botnetweb provengono da Finjan, un'azienda di apparecchiature di sicurezza di rete in California. Finjan ha segnalato di aver trovato un server C & C in grado di inviare spam, malware o comandi di controllo remoto a un enorme robot da 1,9 milioni.

Il server C & C aveva sei account amministratore, oltre a una cache di programmi sporchi. Ophir Shalitin, direttore marketing di Finjan, afferma che Finjan non sa quale dei programmi potrebbe aver infettato quale dei PC - o più importante, quale malware ha causato l'infezione iniziale. L'azienda ha rintracciato l'indirizzo IP del server C & C (ora defunto) in Ucraina e ha trovato prove che le risorse della botnet sono state affittate per $ 100 per 1000 bot al giorno.

Secondo Alex Lanstein, ricercatore senior di sicurezza FireEye, una collezione distribuita di botnet offre ai malintenzionati molti vantaggi. Se le forze dell'ordine o un'impresa di sicurezza dovessero chiudere il server C & C per una singola botnet, il truffatore potrebbe comunque trarre profitto dalle botnet sopravvissute.

La creazione di tali botnet inizia tipicamente con il malware "dropper", dice Lanstein, che usa "Plain-Jane, vanilla techniques" e nessuna codifica o azioni strane che possano far alzare una bandiera rossa per le app antivirus. Una volta che un contagocce entra in un PC (spesso tramite un download drive-by o un allegato e-mail), può entrare in un cavallo di Troia, come il malware Hexzone inviato dal server trovato da Finjan. La variante Hexzone è stata rilevata inizialmente solo da 4 su 39 motori antivirus su VirusTotal.

Disinfestazione da Whack-a-Mole

In questi giorni, sono spesso coinvolti più file di malware che rendono un intruso molto più resistente in faccia di tentativi di sradicarlo.

Nel tentativo di pulire il cavallo di Troia Zeus da RogueRemover di Malwarebyte, che Lanstein dice essere un disinfettore generalmente capace, RogueRemover ha trovato alcuni ma non tutti i file. Dopo alcuni minuti, Lanstein dice che uno dei file rimanenti comunica con il proprio server C & C e prontamente scaricato di nuovo i file cancellati.

"Le probabilità di ripulire tutto solo eseguendo un determinato strumento antivirus sono moderate", afferma Randy Abrams, direttore dell'istruzione tecnica con il produttore di antivirus Eset. Abrams, Lanstein e altri guru della sicurezza sottolineano che se il tuo antivirus "rimuove" un'infezione, non dovresti pensare che il malware sia sparito. Puoi provare a scaricare ed eseguire strumenti extra, come RogueRemover. Altri, come HijackThis o SysInspector di Eset, analizzeranno il tuo PC e creeranno un log da postare su siti come Bleeping Computer, dove i volontari esperti offrono consigli su misura.

Una tattica migliore è assicurarsi che il tuo PC non sia infetto innanzitutto. Installa gli aggiornamenti per chiudere i buchi che i siti drive-by-download potrebbero sfruttare, non solo in Windows, ma anche in app come Adobe Reader. E per proteggersi da allegati e-mail avvelenati o altri file, non aprire allegati o download inaspettati; esegui tutto ciò di cui non sei sicuro attraverso VirusTotal, lo stesso sito di scansione gratuito utilizzato da molti esperti.