Łowcy botnetów

Tradycyjne oprogramowanie zabezpieczające komputer osobisty monitoruje zwykle ruch przychodzący i ostrzega przed próbą infekcji peceta złośliwymi aplikacjami. W czasach, gdy coraz większe zagrożenie stwarzają sieci zarażonych komputerów - botnety - znaczenia nabiera również analiza ruchu wychodzącego. W ten sposób administrator może poznać, czy jego pecet to tzw. zombie, komunikujące się z innymi maszynami botnetu.

Botnet to nic innego jak grupa komputerów zainfekowanych przez szkodliwe oprogramowanie, instalowane najczęściej po otwarciu załącznika do e-maila niewiadomego pochodzenia lub odwiedzeniu podejrzanej witryny WWW). Pecety w ten sposób przechodzą pod kontrolę hakera lub cyberprzestępcy (nazywanego często "bot herderem").

Zdaniem firmy Trend Micro botnety najczęściej wykorzystywane są do rozsyłania spamu lub przeprowadzania ataków typu DoS, są także przedmiotem handlu w środowisku cybeprzestępczym. Spółka do największych tego typu sieci istniejących obecnie zalicza botnety: Storm, Rustock, Sribi, Kraken, Mega-D i Bobax. Należy w tym miejscu wspomnieć także o botnecie tworzonym przy udziale robaka Conficker, największego utrapienia ostatnich miesięcy - spółka Eset szacuje, że sieć ta może obejmować już kilkadziesiąt milionów pecetów.

Warto więc zwrócić uwagę na oprogramowanie, które pomoże w ustaleniu, czy komputer komunikuje się z innymi maszynami w sieci. Do aplikacji takich należą np. BotHunter i RUBotted.Z pomocą pierwszego z wymienionych narzędzi administrator sieci firmowej będzie mógł stwierdzić, który z połączonych w sieć systemów łączy się z nieznanym serwerem i szybko temu przeciwdziałać. Narzędzie jest darmowe, ale nie zostało stworzone na licencji open source. Współpracuje z szeroką gamą systemów operacyjnych: Unix, Linux, Mac OS X i Windows XP (wersja dla Visty spodziewana jest w niedługim czasie).

Narzędzie RUBotted monitoruje komputer użytkownika pod kątem podejrzanej aktywności i regularnie łączy się z serwerem firmowym celem identyfikacji zachowania właściwego botom. Po wykryciu potencjalnej infekcji użytkownik otrzymuje stosowne powiadomienie, wzywające do przeskanowania systemu programem antywirusowym. Z programu również można korzystać bez opłat, jest on jednak przeznaczony na razie tylko dla platformy systemowej Microsoftu (współpracuje z Windows w wersji 2000, XP, Vista 32bit i 2003 Server). Producent - Trend Micro - zastrzega też, że aplikacja nie zadziała na maszynach, na których zainstalowany jest pakiet Panda Internet Security 2008.

Więcej informacji: Trend Micro, BotHunter

Pobierz aplikację BotHunter z zasobów PCWorld.pl:

- wersja dla systemów Windows

- wersja dla dystrybucji Linux