Votre PC est-il infesté? Voici comment savoir

Alors que les feux d'artifice explosaient le 4 juillet des ordinateurs compromis attaqué sites Web du gouvernement américain. Un botnet de plus de 200 000 ordinateurs, infecté par une souche du virus MyDoom de 2004, a tenté de refuser l'accès légitime à des sites tels que ceux de la Federal Trade Commission et de la Maison Blanche. L'agression était un rappel audacieux que les botnets continuent d'être un énorme problème.

Les botnets sont des réseaux voyous de PC "zombies" compromis. Votre machine peut être infectée si vous visitez un site et téléchargez du code corrompu déguisé en vidéo, si vous visitez un site qui a été compromis, ou si un virus traditionnel ou un autre logiciel malveillant entre dans votre système. Une fois qu'un robot infecte votre PC, il appelle son serveur de commande et de contrôle (CnC) pour obtenir des instructions. Un bot est similaire à un cheval de Troie traditionnel; mais plutôt que d'installer simplement un keylogger ou un stealer de mot de passe (ce qu'il peut encore faire de toute façon), un bot travaille avec d'autres PC infectés, les obligeant tous à agir ensemble, comme un très gros ordinateur. de l'argent pour faire exploser un message à des milliers de machines; en particulier, le spam pharmaceutique canadien est énorme en ce moment. D'autres utilisations pour les bots comprennent des attaques qui ferment les sites Web commerciaux, souvent associés à une demande de rançon. Une activité dynamique existe également dans ce que l'on appelle le

flux rapide: Pour que les sites Web d'hameçonnage restent actifs, les opérateurs changent fréquemment de domaine. Les botnets fournissent un moyen rapide et facile de le faire, et, selon l'agence de sécurité Kaspersky, les propriétaires de botnet demandent beaucoup d'argent pour ce service. [Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

la ShadowServer Foundation, un groupe spécialisé dans le partage d'informations sur les botnets, a signalé que le nombre de botnets identifiés est passé de 1500 à 3500 au cours des deux dernières années. Chacun de ces 3500 réseaux pourrait contenir plusieurs milliers de PC compromis - et n'importe quel PC pourrait être infecté par plusieurs robots.

En chiffres bruts, les Etats-Unis et la Chine sont les foyers de la plupart des machines infectées par le bot, Jose Nazario, responsable de la recherche sur la sécurité chez Arbor Networks. "Je pense qu'il est très sûr pour la plupart des utilisateurs de PC de supposer qu'ils font partie d'un botnet", dit-il. "C'est un Internet très dangereux pour la plupart des gens."

Détection des infections

Les botnets vivent ou meurent en fonction des communications avec leurs serveurs CnC. Ces communications peuvent indiquer aux chercheurs la taille d'un botnet. De même, le flot de communications dans et hors de votre PC permet aux applications anti-logiciels malveillants de détecter un bot connu. "Malheureusement, le manque d'alertes antivirus n'est pas un indicateur d'un PC propre", explique Nazario. "Les logiciels antivirus ne peuvent tout simplement pas suivre le nombre de menaces, il est frustrant que nous n'ayons pas de solutions nettement meilleures pour l'utilisateur moyen, plus largement déployé."

Même si votre antivirus PC sort propre, soyez vigilant. Microsoft fournit un Outil de suppression des logiciels malveillants gratuit. Une version de l'outil, disponible à la fois dans Microsoft Update et Windows Update, est mise à jour tous les mois. il fonctionne en arrière-plan le deuxième mardi de chaque mois et rapporte à Microsoft chaque fois qu'il trouve et supprime une infection. Vous pouvez à tout moment utiliser une autre version de l'outil de suppression de logiciels malveillants, téléchargeable sur le site de Microsoft, et l'exécuter si vous constatez un changement soudain dans le comportement de votre ordinateur.

L'outil de suppression de logiciels malveillants obtient des résultats. En septembre 2007, Microsoft a ajouté à l'utilitaire la possibilité de reconnaître le bot Storm. Du jour au lendemain, la taille du botnet Storm a été réduite de 20%. Microsoft a depuis ajouté d'autres réseaux de zombies courants à la liste de l'outil, tels que Conficker et Szribi.

Des options proactives sont également disponibles. BotHunter, un programme gratuit de SRI International, fonctionne avec Unix, Linux, Mac OS, Windows XP et Vista. Bien que conçu pour les réseaux, il peut également fonctionner sur des ordinateurs de bureau et des ordinateurs portables autonomes.

BotHunter écoute passivement le trafic Internet à travers votre machine et conserve un journal des échanges de données qui se produisent généralement lorsqu'un PC est infecté par un logiciel malveillant. Parfois, pour améliorer ses définitions, BotHunter envoie des messages sortants à une base de données internationale SRI d'adware, de spyware, de virus et de vers. BotHunter a d'abord reconnu les modèles d'échange de données de Conficker en novembre 2008, bien avant que les autres fournisseurs de sécurité n'apprennent la menace

Future Botnets

Si seulement pour démontrer leur résilience, les robots ont récemment envahi les téléphones portables. Trend Micro a signalé que le malware SMS Sexy View sur l'OS mobile Symbian peut contacter un serveur CnC pour récupérer de nouveaux modèles de spam SMS.

Alors qu'un botnet sur un téléphone mobile peut sembler différent d'un PC, l'idée de louer un réseau de téléphones «possédés» pourrait être viable dans un proche avenir. Indépendamment de la forme que les bots pourraient prendre, nous ne serons probablement pas en mesure d'éradiquer la menace; nous pouvons seulement apprendre à mieux gérer les infestations de bot. Mais en attendant, nettoyons autant de PC que nous pouvons.