Coordinated Malware Resists Ausrottung

Wie machen Sie das? eine schreckliche Sache noch schlimmer? Wenn Sie ein Betrüger sind, der ein Botnet betreibt - ein oft weitläufiges Netzwerk von Malware-infizierten PCs - verbinden Sie Botnetze zu einem gigantischen "Botnetweb". Und Sie tun es auf eine Weise, die für eine Antivirus-Suite schwer zu bekämpfen ist.

Botnetwebs ermöglichen es Gaunern nicht nur, Spam oder Malware auf Millionen von PCs gleichzeitig zu senden. Sie stellen auch eine sehr widerstandsfähige Infektion dar, die mehrere Dateien verwendet. Ein Desinfektionsversuch könnte einige Dateien eliminieren, aber die Zurückgelassenen laden die geschrubbten Dateien oft neu.

Die Täter "sind keine Nerds, die in irgendeinem dunklen Raum sitzen und diese Botnetze aus Spaß entwickeln", schreibt Atif Mushtaq von FireEye. die Milpitas, Kalifornien, Sicherheitsfirma, die den Begriff botnetweb geprägt hat. "Das sind organisierte Leute, die das in Form eines ausgeklügelten Geschäfts betreiben."

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Sie scratchen meinen Rücken …

In der Vergangenheit, Wettbewerb unter Malware Autoren meinten manchmal, dass eine Infektion auf einer Maschine nach der Infektion eines Rivalen jagen und sie dann entfernen könnte. Vor kurzem hat der aufmerksamkeitsstarke Conficker-Wurm die Windows-Schwachstelle gepatcht, die er ausnutzt, um Computer zu infizieren und so die Tür hinter sich zu schließen, um Infektionen durch andere Malware zu verhindern.

FireEye fand keine Beweise für Konkurrenz, sondern für Kooperation und Koordination zwischen den großen Spam-Botnets, die für eine Veränderung der Funktionsweise von Malware stehen. Das Unternehmen untersuchte die Command & Control (C & C) -Server, die verwendet wurden, um Marschbefehle an die Bots zu senden, was das Weiterleiten von Spam oder das Herunterladen zusätzlicher bösartiger Dateien beinhalten könnte. Im Falle der Pushdo-, Rustock- und Srizbi-Botnets stellte es fest, dass die C & C-Server an der Spitze jedes Botnets sich in derselben Hosting-Einrichtung befanden; Die IP-Adressen, die für die Server verwendet wurden, fielen ebenfalls in die gleichen Bereiche. Wenn die verschiedenen Botnets konkurrierten, hätten sie wahrscheinlich keine Ellbogen digital eingerieben.

Ein Botnetweb, das Millionen von PCs ausmacht

Weitere Beweise für Botnetwebs kamen von Finjan, einem Unternehmen für Netzwerksicherheitsausrüstung in Kalifornien. Finjan berichtete, dass er einen C & C-Server gefunden hatte, der Spam, Malware oder Fernsteuerungsbefehle an satte 1,9 Millionen Bots senden konnte.

Der C & C-Server hatte sechs Administratorkonten und einen Cache mit schmutzigen Programmen. Ophir Shalitin, Marketingdirektor von Finjan, sagt, Finjan wisse nicht, welches der Programme den PC infiziert haben könnte - oder wichtiger, welche Malware die erste Infektion verursacht hat. Das Unternehmen verfolgte die IP-Adresse des C & C-Servers in der Ukraine und fand Beweise dafür, dass die Botnet-Ressourcen für 100 Dollar pro 1000 Bots pro Tag vermietet wurden.

Laut Alex Lanstein, Senior Security Researcher bei FireEye, eine verteilte Sammlung von Botnets gibt den bösen Jungs viele Vorteile. Wenn Strafverfolgungsbehörden oder eine Sicherheitsfirma den C & C-Server für ein einzelnes Botnetz herunterfahren würden, könnte der Gauner immer noch von den überlebenden Botnets profitieren.

Die Erstellung solcher Botnets beginnt normalerweise mit "Dropper" -Malware, sagt Lanstein "plain-Jane, vanilla techniques" und keine seltsamen Kodierungen oder Aktionen, die eine rote Fahne für Antivirus-Anwendungen auslösen könnten. Sobald ein Dropper einen PC betritt (oft über einen Drive-by-Download oder einen E-Mail-Anhang), kann er ein Trojanisches Pferd hereinholen, wie beispielsweise die Hexzone-Malware, die von dem Server, den Finjan gefunden hat, gesendet wird. Diese Hexzone-Variante wurde zunächst von nur vier von 39 Antivirus-Engines bei VirusTotal erkannt.

Whack-a-Mole-Desinfektion

In diesen Tagen sind oft mehrere Malware-Dateien beteiligt, was einem Eindringling viel widerstandsfähiger macht Versuche, das Zeus Trojanische Pferd durch Malwarebytes RogueRemover zu säubern, von dem Lanstein sagt, dass es ein allgemein fähiger Desinfektor ist, fand RogueRemover einige, aber nicht alle Dateien. Nach ein paar Minuten, sagt Lanstein, hat eine der übrig gebliebenen Dateien mit ihrem C & C-Server kommuniziert und die gelöschten Dateien sofort wieder heruntergeladen.

"Die Wahrscheinlichkeit, alles durch das Ausführen eines bestimmten Antiviren-Tools aufzuräumen, ist moderat", sagt Randy Abrams, Leiter der technischen Ausbildung beim Antiviren-Hersteller Eset. Abrams, Lanstein und andere Sicherheitsgurus betonen, dass wenn dein Antivirus eine Infektion "entfernt", du nicht davon ausgehen solltest, dass die Malware verschwunden ist. Sie können versuchen, zusätzliche Tools wie RogueRemover herunterzuladen und auszuführen. Andere, wie HijackThis oder der SysInspector von Eset, analysieren Ihren PC und erstellen ein Protokoll, das Sie auf Websites wie Bleeping Computer veröffentlichen können. Erfahrene Freiwillige bieten maßgeschneiderte Ratschläge.

Eine bessere Taktik ist, sicherzustellen, dass Ihr PC nicht infiziert ist an erster Stelle. Installieren Sie Updates, um die Lücken zu schließen, die Drive-by-Download-Sites möglicherweise ausnutzen - nicht nur in Windows, sondern auch in Apps wie Adobe Reader. Und schützen Sie sich vor giftigen E-Mail-Anhängen oder anderen Dateien, indem Sie keine unerwarteten Anhänge oder Downloads öffnen. Führen Sie alles, was Sie nicht wissen, über VirusTotal durch, die gleiche kostenlose Scan-Site, die viele Experten verwenden.