البرامج الضارة المنسقة يقاوم الإزالة

كيف تجعل شيء رهيب حتى أسوأ؟ إذا كنت من المحتالين الذين يديرون الروبوتات - وهي شبكة غالباً ما تكون موسعة من أجهزة الكمبيوتر المصابة بالبرمجيات الخبيثة - تقوم بربط شبكات الروبوت معا لتشكيل "بوتنتويب" عملاق. وتقوم بذلك بطريقة يصعب على مجموعة مكافحة الفيروسات مكافحتها.

لا تقوم Botnetwebs فقط بتمكين المحتالين من إرسال البريد المزعج أو البرامج الضارة إلى ملايين أجهزة الكمبيوتر في وقت واحد. كما أنها تمثل عدوى مرنة للغاية تستخدم ملفات متعددة. قد تؤدي محاولة التطهير إلى القضاء على بعض الملفات ، ولكن أولئك الذين تركوا وراءهم سيقومون في كثير من الأحيان بإعادة تنزيل الملفات التي تم غسلها.

الجناة "ليسوا حفنة من المهووسين يجلسون في غرفة مظلمة يطورون هذه الشبكات من أجل المتعة" ، يكتب عاطف مشتاق من FireEye ، ميلبيتاس ، كاليفورنيا ، شركة الأمن التي صاغ مصطلح botnetweb. "هؤلاء أشخاص منظمون يديرون هذا في شكل عمل متطور."

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

You Scratch My Back…

في الماضي ، المنافسة بين البرامج الضارة في بعض الأحيان كان الكتاب يعنون أن إحدى العدوى قد تصطاد عدوى منافس على جهاز ما ثم تقوم بإزالته. وفي الآونة الأخيرة ، قامت دودة Conficker التي تستحوذ على الانتباه بتصحيح ثغرة Windows التي استغلتها لإصابة الأجهزة ، مما أدى إلى إغلاق الباب بشكل فعال خلفه لمنع العدوى عن طريق برامج ضارة أخرى.

وجد FireEye دليلاً ليس على المنافسة ، بل على التعاون والتنسيق بين كبرى رسائل البريد العشوائي المزعجة ، والتي تمثل تغيير البحر في طريقة عمل البرمجيات الخبيثة. حققت الشركة في خوادم الأوامر والتحكم (C & C) المستخدمة لإرسال أوامر السير إلى برامج التتبع ، والتي قد تتضمن ترحيل الرسائل غير المرغوب فيها أو تنزيل ملفات ضارة إضافية. في حالة بوتشوت (Pushdo) ، (Rustock) ، و (Srizbi botnets) ، اكتشفت أن خوادم C & C على رأس كل الروبوتات كانت في نفس مرفق الاستضافة ؛ عناوين IP المستخدمة للخوادم تقع أيضًا ضمن نفس النطاق. إذا كانت منافسات botnets المتباينة تتنافس ، فمن المحتمل ألا يكون لها مرفقات رقمية.

A Botnetweb That Millions of PCs Strong

More evidence of botnetwebs came from Finjan، a network security equipment company in California. أبلغ فينجان عن العثور على خادم C & C قادر على إرسال رسائل غير مرغوب فيها أو برامج ضارة أو أوامر تحكم عن بعد إلى 1.9 مليون بوت.

يحتوي خادم C & C على ستة حسابات إدارية ، بالإضافة إلى مخبأ للبرامج القذرة. يقول أوفير شاليتين ، مدير التسويق في فينجان ، إن فينجان لا يعرف أي البرامج قد يكون مصابًا بأحد أجهزة الكمبيوتر - أو الأهم من ذلك ، أي البرامج الضارة التي تسبب العدوى الأولية. تتبعت الشركة عنوان IP لخادم C & C (البائد الآن) إلى أوكرانيا ، ووجدت دليلاً على أن موارد الروبوتات قد تم استئجارها مقابل 100 دولار لكل 1000 من السيروتات في اليوم.

وفقاً لأليكس لانشتاين ، وهو باحث أمن رئيسي في فاير آي ، وهي مجموعة موزعة من botnets يعطي الأشرار العديد من المزايا. إذا كانت سلطات تطبيق القانون أو شركة الأمن تغلق خادم C & C في أي بوت نت ، فلا يزال بإمكان المحتال تحقيق ربح من شبكات الروبوت الباقية.

عادةً ما يبدأ إنشاء مثل هذه البرامج بوتيرة "بالقطارة" ، كما يقول لانشتاين ، "plain-Jane وتقنيات الفانيلا" وبدون تشفير أو إجراءات غريبة قد ترفع علمًا أحمرًا لتطبيقات مكافحة الفيروسات. بمجرد دخول قطارة إلى جهاز كمبيوتر (غالباً ما يتم تنزيله عن طريق التحميل أو عن طريق مرفق بريد إلكتروني) ، قد يتم سحب حصان طروادة ، مثل برنامج Hexzone الذي يتم إرساله بواسطة الخادم الذي تم العثور عليه. تم اكتشاف هذا البديل Hexzone في البداية من قبل 4 من أصل 39 من برامج مكافحة الفيروسات في VirusTotal.

Whack-a-Mole Disinfection

وفي هذه الأيام ، غالباً ما تكون هناك عدة ملفات ضارة متضمنة ، مما يجعل المتطفل أكثر مرونة في الوجه. محاولات لاستئصاله.

في محاولة ملحوظة لتنظيف حصان زيوس طروادة بواسطة RogueRemover لـ Malwarebyte ، والذي يقول لانشتاين أنه مطهر قادر بشكل عام ، وجد RogueRemover بعض ولكن ليس كل الملفات. بعد بضع دقائق ، يقول لانشتاين ، أحد الملفات المتبقية التي تم توصيلها بخادم C & C وقام على الفور بإعادة تنزيل الملفات المحذوفة.

يقول راندي أبرامز ، مدير التعليم التقني في شركة Eset التي تعمل في مجال مكافحة الفيروسات: "إن احتمالات تنظيفها فقط من خلال تشغيل أداة معينة لمكافحة الفيروسات معتدلة". يؤكد أبرامز ، لانشتاين ، ومرشدو الأمن الآخرون أنه إذا كان برنامج مكافحة الفيروسات الخاص بك "يزيل" العدوى ، فلا يجب أن تفترض أن البرامج الضارة قد اختفت. يمكنك محاولة تنزيل وتشغيل أدوات إضافية ، مثل RogueRemover. سوف يقوم آخرون ، مثل HijackThis أو SysInspector من Eset ، بتحليل جهاز الكمبيوتر الخاص بك وإنشاء سجل لك للنشر في مواقع مثل Bleeping Computer ، حيث يقدم المتطوعون ذوو الخبرة نصائح مصممة خصيصًا.

أفضل طريقة هي التأكد من عدم إصابة جهاز الكمبيوتر الخاص بك في المقام الأول. قم بتثبيت التحديثات لإغلاق الثقوب التي قد تستغلها مواقع القيادة بالتنزيل - ليس فقط في Windows ، ولكن أيضًا في التطبيقات مثل Adobe Reader. وللحماية من مرفقات البريد الإلكتروني المسمومة أو الملفات الأخرى ، لا تفتح أي مرفقات أو تنزيلات غير متوقعة ؛ قم بتشغيل أي شيء غير متأكد من خلال VirusTotal ، وهو نفس الموقع المجاني الذي يستخدمه العديد من الخبراء.