Век ботнетов начался примерно одиннадцать лет назад, когда несколько тысяч компьютеров совершили DDOS- атаку на сайт Microsoft.com. За одновременную атаку компьютеров отвечал вирус, работающий в фоновом режиме, и без ведома пользователя управляющий сетевой активностью ПК. После первой ласточки волна ботнетов буквально захлестнула сеть, превратившись из невинной шалости в эффективное оружие хакеров.
Внешний вид и составляющие
Ботент это компьютерная сеть, работающая под частичным управлением вируса. В локальном режиме, когда компьютер не подключен к сети, вирус совершенно не опасен, но стоит войти в сеть, как он начинает исполнять команды киберпреступника. Чаще всего хозяин ПК даже не подозревает об участии его компьютера в ботнете. Поэтому такая сеть получала название зомби сеть, а компьютеры входящие в нее соответственно зомби компьютеры.
Подобные системы обладают мощными вычислительными ресурсами, чаще направляемыми хакерами на «падение» того или иного сервера, по заказу конкурентов. При этом управлять компьютерами зомби сети хакер может откуда угодно, как со стационарного компьютера, так и со смартфона, имеющего выход в 3G- сеть. Размеры ботнетов колеблются от 1 до 200 тысяч компьютеров включенных в сеть. Чаще всего встречаются сети среднего размера, по 15-20 тысяч систем.
Количество входящих в зомби сеть компьютеров определяется тремя основными факторами. Первый фактор – это то на сколько эффективна сама технология заражения компьютеров. Соответственно чем лучше налажена защита компьютера, тем меньше вероятность его «зомбирования». Однако это не дает стопроцентной гарантии. Второй фактор – это уровень скрытности вируса. Чем незаметней он будет себя вести, тем дольше компьютер будет входить в состав ботнета. Поэтому подобное вредоносные ПО практически не «ест» ресурсов компьютера и скорости соединения, и вообще всячески прячется в системе. Ну и третий фактор – это возраст ботнета. Пика активности и размеров такая сеть достигает в возрасте 2-4 недель. Через несколько месяц, выполнив свою задачу сеть распадается, либо за ненадобностью, либо благодаря работе антивирусов.
Способы заражения
На заре ботнетов для заражения использовались специальные документы, такие как Word, Exele, Acrobat, или просто картинки, после просмотра которых на компьютере пользователя запускался код, заражающий систему. Иначе говоря, заразить компьютер, можно просто зайдя на форум, ЖЖ, или страничку социальной сети. Однако современные антивирусные системы своевременно пресекают такие попытки заражения системы. Поэтому хакеры за последние годы расширили способы зомбирования компьютеров.
Сейчас происходит радикальная смена способов вербовки компьютеров для зомби сетей. Яркий пример- черви из семейства Conficker, вместо распространения через интернет, этот вирус использует технические способы распространения – флэшкарты, переноски, фотоаппараты, мобильные телефоны, и все прочие гаджеты подключаемые к компьютеру.
Другой альтернативный способ заражения– это веб- средства. Хакеры создают поддельный веб- ресурс, на котором размещается вредоносное ПО. Обычно на таком сайте размещается эффективный вирус, который используя недостатки и дыры в браузерах и антивирусах, проникает на компьютер. Самым ярким примером такого способа вербовки компьютера стал вирус написанный хакерами из Украины. Распознать этот вирус смогли лишь 3 из 40 самых популярных антивируса. В целом объединить в зомби сеть злоумышленникам удалось почти 2 миллиона(!) компьютеров.
Самым оригинальным способом объединения компьютеров в сеть ботнетов стало заражение не операционной системы самого компьютера, а сетевого оборудования- модемов, роутеров и прочих. Так как сам компьютер при этом остается чист, выявить факт заражения практически невозможно, в результате чего такая зомби сеть очень стабильная и долгоживущая.
Способы защиты
Уничтожить зомби сеть как явления – практически невозможно, однако защитить свой компьютер вполне реально. Во-первых конечно же стоит установить качественный антивирус, и регулярно обновлять антивирусные базы. Кроме этого желательно выключить планировщик задач Windows (Task Scheduler).
Эффективным средство защиты может стать установка межсетевого экрана. Если разрешить программе-экрану пропускать только проверенные приложения, такие как интернет браузеры и ICQ, а все остальное запретить, то риск заражения снизиться в разы.
Комментарии: