Les logiciels malveillants résistent à l'éradication

Comment faire une chose terrible encore pire? Si vous êtes un escroc qui exploite un réseau de zombies - un réseau souvent infecté de PC infectés par des logiciels malveillants - vous liez des botnets pour former un «botnetweb» gargantuesque. Et vous le faites d'une manière qui est difficile à combattre pour une suite d'antivirus.

Botnetwebs ne permet pas seulement aux escrocs d'envoyer du spam ou des logiciels malveillants à des millions de PC à la fois. Ils représentent également une infection hautement résiliente qui utilise plusieurs fichiers. Une tentative de désinfection peut éliminer certains fichiers, mais ceux qui restent oublient souvent les fichiers nettoyés.

Les coupables "ne sont pas une bande de nerds assis dans une pièce sombre pour développer ces botnets", écrit Atif Mushtaq de FireEye, la société de sécurité Milpitas, en Californie, qui a inventé le terme botnetweb. "

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Vous grattez mon dos …

Dans le passé, la concurrence entre les logiciels malveillants écrivains signifiait parfois qu'une infection pourrait chasser l'infection d'un rival sur une machine, puis l'enlever. Plus récemment, le ver Conficker a corrigé la vulnérabilité de Windows qu'il a exploitée pour infecter les machines, fermant ainsi la porte derrière lui pour empêcher les infections par d'autres logiciels malveillants.

FireEye a trouvé des preuves non de concurrence, mais de coopération et de coordination. botnets de spam, représentant un changement radical dans la façon dont le malware fonctionne. La société a enquêté sur les serveurs de commande et de contrôle (C & C) utilisés pour envoyer des ordres de marche aux robots, ce qui peut inclure le relais de spam ou le téléchargement de fichiers malveillants supplémentaires. Dans le cas des botnets Pushdo, Rustock et Srizbi, il a découvert que les serveurs C & C à la tête de chaque botnet se trouvaient dans la même structure d'hébergement; les adresses IP utilisées pour les serveurs sont également comprises dans les mêmes plages. Si les botnets disparates avaient été en concurrence, ils n'auraient probablement pas coudé numériquement.

Un Botnetweb C'est des millions de PCs solides

Plus de preuves de botnetwebs sont venues de Finjan, une entreprise d'équipement de sécurité réseau en Californie. Finjan a signalé avoir trouvé un serveur C & C capable d'envoyer des spams, des logiciels malveillants ou des commandes de contrôle à distance à 1,9 million de robots.

Le serveur C & C avait six comptes administrateur, plus un cache de programmes corrompus. Ophir Shalitin, directeur marketing de Finjan, affirme que Finjan ne sait pas lequel des programmes pourrait avoir infecté lequel des PC - ou plus important encore, quel malware a provoqué l'infection initiale. L'entreprise a retracé l'adresse IP du serveur C & C (maintenant disparu) en Ukraine et a trouvé des preuves que les ressources du botnet étaient louées pour 100 $ par 1000 bots par jour.

Selon Alex Lanstein, un chercheur senior de FireEye, une collection distribuée de botnets donne aux méchants de nombreux avantages. Si l'application de la loi ou une firme de sécurité devait fermer le serveur C & C pour un botnet, l'escroc pourrait encore tirer profit des botnets survivants.

Créer de tels botnets commence généralement par un malware "dropper", dit Lanstein. "Plain-Jane, techniques vanille" et pas de codage ou d'actions étranges qui peuvent déclencher un drapeau rouge pour les applications antivirus. Une fois qu'un compte-gouttes entre dans un PC (souvent via un téléchargement drive-by ou une pièce jointe d'un e-mail), il peut tirer un cheval de Troie, tel que le malware Hexzone envoyé par le serveur trouvé par Finjan. Cette version d'Hexzone a été initialement détectée par VirusTotal sur seulement 4 des 39 moteurs antivirus.

Whack-a-Mole Disinfection

De nos jours, plusieurs fichiers malveillants sont souvent impliqués, ce qui rend un intrus beaucoup plus résistant

Dans une tentative de nettoyage du cheval de Troie Zeus par RogueRemover de Malwarebyte, qui selon Lanstein est un désinfecteur généralement capable, RogueRemover a trouvé certains fichiers, mais pas tous. Après quelques minutes, dit Lanstein, l'un des fichiers restants communiqué avec son serveur C & C et rapidement téléchargé à nouveau les fichiers supprimés.

"Les chances de tout nettoyer en exécutant un outil antivirus donné sont modérées", explique Randy Abrams, directeur de la formation technique avec le fabricant d'antivirus Eset. Abrams, Lanstein et d'autres gourous de la sécurité soulignent que si votre antivirus "supprime" une infection, vous ne devriez pas supposer que le malware a disparu. Vous pouvez essayer de télécharger et d'exécuter des outils supplémentaires, comme RogueRemover. D'autres, comme HijackThis ou SysInspector d'Eset, analyseront votre PC et créeront un journal que vous pourrez publier sur des sites comme Bleeping Computer, où des volontaires expérimentés offrent des conseils personnalisés.

Une meilleure tactique consiste à s'assurer que votre PC n'est pas infecté en premier lieu. Installez des mises à jour pour fermer les trous que les sites de téléchargement par téléchargement pourraient exploiter - pas seulement sous Windows, mais aussi dans des applications telles qu'Adobe Reader. Et pour se prémunir contre les pièces jointes ou autres fichiers empoisonnés, n'ouvrez aucune pièce jointe ou téléchargement inattendu; exécuter tout ce dont vous n'êtes pas sûr grâce à VirusTotal, le même site d'analyse gratuit que de nombreux experts utilisent.