Във вашето PC има бот!

Подпомагайки (и подпомогнати от) нарастващите заплахи със смесен характер по цял свят, мрежите от ботове се окопават и използват вашата мрежа като база за действие. Матю Саръл

Както се изясни на страниците на нашето списание в един от миналите броеве, смесените заплахи (blended threats) представляват атаки, които използват комбинация от методи – чрез електронна поща или чрез легитимни уебсайтове - за да ви подмамят да изтеглите непознат зловреден софтуер на вашия компютър.

След като се хванете на въдицата, съществува голяма вероятност вече да имате бот на вашия компютър и да способствате за разпространението на зловреден софтуер. Всъщност не всички ботове са лоши: ботът по същество е програма, която просто изпълнява автоматизирани задачи в интернет. Но е очевидно, че ботовете, за които говорим тук, са зловредни. Те се вграждат в компютрите, за да вършат цял куп мръсни дела, като следене на натискания на клавиши, изпращане на спам, копиране на потребителски имена и пароли, стартиране на масово разпространени атаки, свързани с отказ на услуги (Distributed Denial of Service, DoS), и разпространение на други вируси и червеи. Мрежите от ботове (botnets) представляват колекции от ботове под управлението на един мениджър (или пастир (herder)); те се превърнаха в сериозна заплаха за сигурността в интернет.

Единадесет процента от компютрите в света са част от поне една мрежа от ботове, а 23 процента от домашните компютри, на които вече работят програми за защита от зловреден софтуер, са заразени, както показва едно проучване, проведено наскоро от компанията Panda Security. Колко мощни могат да бъдат мрежите от ботове? Най-известните (Srizbi, Storm, Bobax и Ozdok/Mega-D) могат да изпращат ежедневно над 100 милиарда ненужни електронни съобщения (спам) според пресмятанията на компанията SecureNetwork.

Начинът, по който най-често работят ботовете, е свързан с използване на IRC (internet relay chat, разговори по интернет) за изграждане на инфраструктура за командване и управление (command and control, C&C). Ботът, който работи на заразен компютър, би използвал специфичен канал на публичен IRC сървър, за да изпраща команди и да получава информация – например за потребителски имена и пароли на банкови сайтове – от друг бот, който работи на заразен компютър. Много често ботът има до известна степен функционалност на червей: той би заразил даден компютър и след това би започнал да сканира локалната мрежа за други уязвими компютри. Много е трудно да намериш и изключиш бот, защото не е задължително винаги ботовете да са активни; те могат да си стоят, „спейки“, докато получат команда от „пастира“ на мрежата от ботове да изпълняват команди. Обикновено „пастирът“ дава под наем време на своята мрежа от ботове, таксува клиентите на базата на определено количество спам или продава потребителските имена и пароли, събрани от бота.

Както е при много други заплахи за сигурността, и при ботовете най-доброто лекарство е превенцията. Ако постоянно актуализирате вашата система и програмата за защита от зловреден софтуер (както системата й (engine), така и сигнатурите), ако използвате защитна стена; ако знаете какви процеси работят локално; и ако разбирате как тези процеси осъществяват достъп до мрежата, можете да установите еталонен критерий за нормална дейност. Когато нещата започват да се усложняват по мистериозен начин, можете да сравните този критерий с това, което сега прави системата, и да се поразровите, за да откриете евентуални промени.

СМЯТАТЕ , ЧЕ СТЕ ПРИХВАНАЛИ БОТ ? НА ПРАВЕТЕ СЛЕДНАТА ПРОВЕРКА

1- Използвайте програма за защита от зловреден софтуер.

Ако все още нямате такъв софтуерен пакет, веднага си го набавете. Има два безплатни варианта: изтеглете и инсталирайте персоналната версия на EyeBlink (free-antivirus.eeye.com), или опитайте онлайн услугата за сканиране на TrendMicro (housecall.trendmicro.com).

2- Свалете HijackThis от Trend Micro (www.trendsecure.com).

Стартирайте тази програма, запишете отчета от проверката и публикувайте в някой от многото сайтове, които поддържат HijackThis, като spywarewarrior.com, bleepingcomputer.com и temerc.com. В рамките на 24 часа някой доброволец експерт ще ви даде съвет как да изчистите заразите.

3- Проверявайте регистрите (logs) на вашата софтуерна защитна стена, за да видите дали някои приложения наскоро са получили разрешение да изпращат и приемат мрежов трафик. Това ще ви създаде неудобства за известно време, но е за добро: така ще получите информация за всички приложения, които търсят достъп до вашата мрежа.

4- Проверявайте вашия фал HOSTS, който се намира в C:\ Windows\System32\Drivers\Etc. Много ботове презаписват този файл, за да заблудят вашия персонален компютър и го накарат да се свърже с неправилен и неоторизиран IP адрес на сървър. Обикновено единственият ред, който съдържа този файл, е 127.0.0.1 local host, при все че може да има и допълнителни, неактивни редове; последните са предшествани от знака #, който показва, че системата трябва да ги игнорира. Ако намерите други редове, направете архивно копие на файла HOSTS (за всеки случай), след което изтрийте подозрителните редове и запишете файла.

5- Преглеждайте всички процеси локално с помощта на Windows Task Manager или Process Explorer на SysInternal (www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx). Сортирайте по използвани ресурси. Ако някой от най-големите консуматори на ресурси ни се стори непознат, би могъл да е бот. Или полезен софтуерен компонент на Windows. Програмата FileAdvisor на компанията Bit9 (www. bit9.com/products/fileadvisor.ohp) ще ви помогне да си изясните какъв е процесът. – М. Дейвид Стоун

ЗАГОВОР НА БОТОВЕ?
Легитимните сайтове, в които има много силен трафик, като сайта на PlayStation 3 на Sony за САЩ, често пъти биват хаквани от зловреден код, който подмамва потребителите (чрез фалшиви антивирусни съобщения) да изтеглят ботове и друг зловреден софтуер на своите персонални компютри.