Malware yang Terkoasi Menentang Pemberantasan

Bagaimana Anda membuat hal yang mengerikan lebih buruk lagi? Jika Anda adalah penjahat yang mengoperasikan botnet - jaringan PC terinfeksi-perusak yang sering kali luas - Anda menautkan botnet bersama-sama untuk membentuk "botnetweb" raksasa. Dan Anda melakukannya dengan cara yang sulit bagi antivirus untuk melawan.

Botnetweb tidak hanya memungkinkan penjahat untuk mengirim spam atau malware ke jutaan PC sekaligus. Mereka juga merupakan infeksi yang sangat tangguh yang menggunakan banyak file. Upaya desinfeksi mungkin menghilangkan beberapa file, tetapi yang tertinggal sering akan mengunduhnya.

Pelakunya "bukan sekelompok kutu buku yang duduk di ruangan gelap mengembangkan botnet ini untuk bersenang-senang," tulis Atif Mushtaq dari FireEye, Milpitas, California, perusahaan keamanan yang menciptakan istilah botnetweb. "Ini adalah orang-orang terorganisir yang menjalankan ini dalam bentuk bisnis yang canggih."

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Anda Menggaruk Punggungku …

Di masa lalu, persaingan antar malware penulis kadang-kadang berarti bahwa satu infeksi mungkin memburu infeksi saingan pada mesin dan kemudian menghapusnya. Baru-baru ini, worm Conficker yang menarik perhatian menambal kerentanan Windows yang dieksploitasi untuk menginfeksi mesin, secara efektif menutup pintu di belakangnya untuk mencegah infeksi oleh malware lainnya.

FireEye menemukan bukti bukan dari kompetisi, tetapi kerjasama dan koordinasi di antara mayor botnet spam, mewakili perubahan laut dalam cara kerja malware. Perusahaan ini menyelidiki server perintah dan kontrol (C & C) yang digunakan untuk mengirim perintah marching ke bot, yang mungkin termasuk mengirimkan spam atau mengunduh file berbahaya tambahan. Dalam kasus botnet Pushdo, Rustock, dan Srizbi, ia menemukan bahwa server C & C di kepala setiap botnet berada di fasilitas hosting yang sama; alamat IP yang digunakan untuk server juga jatuh dalam rentang yang sama. Jika botnet yang berbeda telah bersaing, mereka mungkin tidak akan menggosok siku secara digital.

Botnetweb Itu Jutaan PC Kuat

Lebih banyak bukti botnetwebs berasal dari Finjan, perusahaan peralatan keamanan jaringan di California. Finjan melaporkan menemukan server C & C yang mampu mengirim spam, malware, atau perintah remote-control ke 1,9 juta bot.

Server C & C memiliki enam akun administrator, ditambah cache program kotor. Ophir Shalitin, direktur pemasaran Finjan, mengatakan bahwa Finjan tidak tahu program mana yang mungkin telah menginfeksi PC mana saja - atau yang lebih penting, malware mana yang membuat infeksi awal. Perusahaan menelusuri alamat IP server C & C (sekarang sudah tidak berfungsi) ke Ukraina, dan menemukan bukti bahwa sumber daya botnet disewakan untuk $ 100 per 1000 bots per hari.

Menurut Alex Lanstein, seorang peneliti keamanan senior FireEye, sebuah koleksi terdistribusi botnet memberi banyak keuntungan pada orang jahat. Jika penegak hukum atau firma keamanan menutup server C & C untuk botnet tunggal, penjahat masih bisa mendapat untung dari botnet yang masih hidup.

Membuat botnet seperti itu biasanya dimulai dengan malware "penetes", kata Lanstein, yang menggunakan "plain-Jane, teknik vanilla" dan tidak ada pengkodean atau tindakan aneh yang dapat menaikkan bendera merah untuk aplikasi antivirus. Setelah pipet masuk ke PC (sering melalui unduhan drive-by atau lampiran email), itu dapat menarik kuda Trojan, seperti malware Hexzone yang dikirim oleh server yang ditemukan oleh Finjan. Itu varian Hexzone awalnya terdeteksi oleh hanya 4 dari 39 mesin antivirus di VirusTotal.

Whack-a-Mole Disinfection

Dan hari-hari ini, beberapa file malware sering terlibat, yang membuat penyusup jauh lebih tangguh di wajah. dari upaya untuk memberantasnya.

Dalam upaya yang diamati untuk membersihkan kuda Trojan Zeus oleh RogueRemover milik Malwarebyte, yang dikatakan oleh Lanstein adalah disinfector yang umumnya mampu, RogueRemover menemukan beberapa tetapi tidak semua file. Setelah beberapa menit, kata Lanstein, salah satu file yang tersisa berkomunikasi dengan server C & C dan segera mengunduh ulang file yang dihapus.

"Kemungkinan membersihkan semuanya hanya dengan menjalankan alat antivirus yang diberikan adalah moderat," kata Randy Abrams, direktur pendidikan teknis dengan pembuat antivirus Eset. Abrams, Lanstein, dan pakar keamanan lainnya menekankan bahwa jika antivirus Anda "menghapus" infeksi, Anda seharusnya tidak menganggap malware itu hilang. Anda dapat mencoba mengunduh dan menjalankan alat tambahan, seperti RogueRemover. Lainnya, seperti HijackThis atau Eset's SysInspector, akan menganalisis PC Anda dan membuat log untuk Anda posting di situs seperti Bleeping Computer, di mana relawan berpengalaman menawarkan saran yang disesuaikan.

Taktik yang lebih baik adalah memastikan PC Anda tidak terinfeksi di tempat pertama. Instal pembaruan untuk menutup lubang yang dapat diakses oleh situs pengaya oleh-unduh - tidak hanya di Windows, tetapi juga di aplikasi seperti Adobe Reader. Dan untuk menjaga terhadap lampiran e-mail beracun atau file lainnya, jangan buka lampiran atau unduhan yang tidak diharapkan; jalankan apa pun yang tidak Anda yakini melalui VirusTotal, situs pemindaian gratis yang sama yang digunakan banyak pakar.