В последнее время стали распространятся вирусы, которые явно не вредят компьютеру пользователя, но получают к нему практически полный доступ, который может быть использован в любых целях. А объединение тысяч заражённых компьютеров по всему миру дают злоумышленникам огромные вычислительные мощности.

Чего-чего хорошего, а компьютерных вирусов за последние десятилетия было создано великое множество. И все они различаются по принципу своего действия и поведения. Одни вирусы просто удаляют системные файлы, приводя компьютер в нерабочее состояние (черви), другие воруют данные пользователя и всячески шпионят за ним (трояны), третьи шифруют данные на диске, требуя выкуп за их обратную дешифровку (криптеры или шифровальщики).

Однако, есть и такие вирусы, которые визуально себя ничем сразу не проявляют и, на первый взгляд, не причиняют никакого вреда. Они просто молча "сидят" и ждут команды извне. Получая такую команду, они загружают и выполняют любой другой вредоносный код, незаметно для пользователя пропуская его на компьютер с эдакого "чёрного хода" (определённого рода уязвимости системы). За такое поведение эти вирусы и получили название бэкдоров (от англ. "back door" – "чёрный ход").

Заражённый бэкдором компьютер продолжает работать в штатном режиме, но он уже не принадлежит полностью своему владельцу. С момента заражения он начинает входить в зомби-сеть таких же инфицированных ПК по всему миру, которые составляют вместе так называемый ботнет, готовый в любой момент выполнить любую команду злоумышленников, организовавших его...

Что такое ботнет?

В крупных компаниях и различных конторах часто можно встретить иерархические локальные сети. В них есть один сервер, который выполняет роль шлюза для выхода в Интернет и может в той или иной мере контролировать подключённые к нему компьютеры пользователей. Осуществляется последнее установкой специального софта, который и отвечает за выполнение определённых действий на стороне клиента (удалённый запуск программ, сбор статистики, выключение, перезагрузка и т.п.).

Так вот, ботнет во многом напоминает подобные корпоративные сети. Разница состоит лишь в том, что пользователь заражённого ботом ПК продолжает выходить в Интернет прежним способом и вообще даже не знает, что его компьютер может контролироваться кем-либо извне!

Ботнет и корпоративная локалка

Бот (как правило, вирус типа backdoor или руткит) после попадания на компьютер пользователя первым делом прописывает себя в исключения антивируса, в автозагрузку системы и/или программы, к которой привязывается (чаще всего, браузер или почтовый клиент). Затем, в зависимости от целей хакеров, создающих ботнет, либо переходит в режим ожидания и ждёт новых команд, либо сразу начинает скачивать и устанавливать другой вредоносный код (например, средство рассылки спама или майнер).

По принципу работы ботнет может быть централизованным или децентрализованным. Первый тип зомби-сетей во многом схож с описанной выше моделью корпоративной сети и управляется с единого сервера, который принадлежит злоумышленникам. Второй тип ботнетов более сложен технически и работает по принципу P2P-сетей. То есть, компьютеры, которые в него входят, одновременно являются и клиентами и серверами, что позволяет им в автоматическом режиме обмениваться данными (например, для обновления программы-бота):

Централизованный и децентрализованный ботнет

При выявлении бороться с централизованными ботнетами проще, поскольку для их разрушения достаточно вычислить основной сервер. С P2P-сетями намного сложнее, поскольку управляющим может оказаться любой из тысяч (или даже миллионов) компьютеров зомби-сети. К тому же, сеть будет оставаться работоспособной до тех пор, пока в ней есть хотя бы один ПК с работающей программой-ботом, который способен размножаться.

Различные службы кибербезопасности и разработчики антивирусов постоянно ведут работы по выявлению и нейтрализации ботнетов. Тем не менее, по всему миру постоянно появляются всё новые и новые зомби-сети. И во многом этому способствуют сами пользователи компьютеров...


Пути заражения

Всего существует не так уж много способов заразить свой компьютер любым типом вирусов (в том числе и таким, который служит для создания ботнетов). Можем их перечислить:

  1. Прямой взлом компьютера (или чаще локальной сети) путём перебора паролей (так называемый "брутфорс" от англ. "brute force" – "грубая сила") с целью получения доступа от имени администратора. Чаще всего такие атаки совершаются целенаправленно на частные сети крупных компаний с целью промышленного шпионажа. Они довольно ресурсозатратны для хакеров, поэтому для взлома обычных пользователей практически не применяются.
  2. Заражение ПК с использованием хакером той или иной уязвимости в коде операционной системы или используемого программного обеспечения. Обычно при выявлении таких уязвимостей разработчики ПО реагируют довольно быстро и исправляют их при помощи обновлений. Так что, если не использовать устаревшие программы, то шансы заразиться этим способом весьма незначительны.
  3. Заражение компьютера при санкционированном доступе. Этот вариант заражения может быть как целенаправленным, так и случайным. Например, Вы отдали свой компьютер на ремонт в небольшую полулегальную компьютерную фирмочку и тамошний "мастер" установил Вам какую-нибудь взломанную программу с вирусом в придачу... Это можно отнести к непреднамеренному заражению. Если же, например, тот же "мастер" пришёл к Вам домой или запросил у Вас удалённый доступ к Вашему компьютеру и явно копается не там, где нужно, устанавливая что-то подозрительное, то тут уже может иметь место целенаправленное инфицирование "самопальными" вирусами. Хорошо, что такие "умельцы" встречаются нечасто и о них рано или поздно становится известно благодаря "сарафанному радио".
  4. Инфицирование через подключение заражённых съёмных носителей информации. По сути, это вариант санкционированного доступа к компьютеру, но здесь главную роль играет не человек, который неумышленно или специально внедряет вирус, а техника. Например, если флешка вашего товарища заражена autorun-вирусом, а на Вашем ПК не отключён автозапуск съёмных запоминающих устройств, то есть вероятность, что при автозагрузке вредоносный код выполнится и инфекция проникнет к Вам. Наилучшим методом борьбы с таким способом распространения заразы является отключение автозапуска для CD- и USB-носителей.
  5. Заражение путём ввода пользователя в заблуждение. Пожалуй, самый распространённый способ инфицирования компьютеров по всему миру. Здесь в ход идёт и социальная инженерия, и навязчивая реклама, и спам-рассылки, словом всё, что может заставить незадачливого пользователя самостоятельно установить вирус себе на компьютер. Обычно вирусы идут "в нагрузку" к какой-либо полезной (или не очень) программе.

Способы создания ботнетов

Как видим, из всех способов заражения наиболее вероятным является последний. Мы сами по собственной невнимательности забываем снять галочки при инсталляции программ, игнорируем предупреждения антивируса (если он вообще установлен) или открываем всяческие вложения электронной почты, не задумываясь о последствиях. Как результат – самостоятельно инфицируем свой же компьютер.

Соответственно, чтобы не превратить свой компьютер в бесполезную груду металла или в "зомби", достаточно просто придерживаться общеизвестных правил, которыми мы часто пренебрегаем:

  • использовать антивирус в связке с брандмауэром и не игнорировать их предупреждения;
  • не открывать подозрительные вложения электронной почты или сообщений в соцсетях;
  • на различных сайтах внимательно смотреть, какие кнопки Вы нажимаете при скачивании программ;
  • не поддаваться на провокационную рекламу, обещающую Вам крупный выигрыш после скачивания и установки чего-либо;
  • использовать, по возможности, обновлённое программное обеспечение;
  • не пользоваться автозапуском флешек и дисков;
  • всегда создавать резервные копии самых важных данных и хранить их вне компьютера.

Зачем создаются ботнеты?

Мы выяснили, что такое ботнет, откуда он может появиться на Вашем компьютере, но остаётся вопрос, зачем хакеры так усердно создают зомби-сети. Тут условно можно разделить все подобные сети на две категории: те, которые злоумышленники используют для собственных нужд, и те, которые создаются с ориентацией на получение прибыли.

Любой, даже не самый большой, ботнет на пару сотен машин – это уже довольно большая вычислительная мощь. И хакеры её могут использовать, например, для того же брутфорса. Ведь одновременный подбор паролей с нескольких компьютеров пропорционально сокращает время взлома! Также злоумышленники могут использовать сеть заражённых ПК в качестве цепочки прокси-серверов для маскировки своего реального местоположения.

Вариант ботнета для заработка предполагает более широкий спектр действий:

  • рассылка спама, за которую платит заказчик;
  • сбор данных пользователей для последующей перепродажи (пакет таких данных стоит на чёрном рынке от $2 до $10);
  • организация DDoS-атак на сайты (здесь прибыль может получаться как от заказчика, так и от владельца сайта, который платит за скорейшее прекращение атаки);
  • накрутка рейтинга чего-либо;
  • майнинг криптовалют.

Применение ботнетов

Кроме того, крупные ботнеты хакеры могут сдавать в аренду заинтересованным лицам или вовсе продавать им же за довольно внушительные суммы (речь идёт о десятках и сотнях тысяч долларов!). Аренда обходится обычно дешевле. Например, зомби-сеть из пары сотен заражённых компьютеров можно арендовать за сумму от $100–$200, при этом стоимость одного бота стартует с отметки всего в 50 центов.

Борьба с ботнетом

Как уже говорилось выше, с ботнетами постоянно борются всевозможные спецслужбы и антивирусные компании. Однако, даже наличие самого продвинутого антивируса на Вашем ПК не гарантирует 100% защиты! Воспользовавшись брешью в системе или невнимательностью пользователя, вирус всё-таки может проникнут на компьютер. Поэтому важно его вовремя обнаружить и нейтрализовать.

Подозрение на наличие вируса может возникнуть у Вас, если компьютер начал резко работать медленнее обычного при сохранении штатного режима его использования. Частые зависания без запуска ресурсоёмких программ, появление в диспетчере задач подозрительных процессов и повышение Интернет-трафика в режиме простоя – вот основные причины, по которым следует начать поиски бота (или любого другого возможного вируса).

Первым делом, как ни странно, можно воспользоваться установленным антивирусом. Если после проведения сканирования он ничего не обнаружил, обязательно проверьте, нет ли в его "белом списке" (обычно его можно найти в настройках) подозрительных записей, которые Вы не санкционировали. Ведь часто продвинутые боты умеют автоматически прописывать себя в исключения антивируса и он их просто игнорирует. Удалите из списка ненужные записи и повторите сканирование:

Исключения 360 Total Security

Если антивирус ничего не обнаружил, то можно открыть Диспетчер задач (CTRL+SHIFT+ESC) и внимательно его изучить. Подозрения должны вызвать процессы, маскирующие свои названия под названия системных. Чаще всего, подделывается имя процесса svchost.exe путём перестановки (например, scvhost.exe) или удаления букв (например, svhost.exe). Оригинальный процесс может быть запущен в нескольких экземплярах, что затрудняет поиск подделки. Поэтому для удобства поиска можно сортировать процессы по имени и сразу проверять группу "Фоновые процессы":

Диспетчер задач

Учтите, что обычный Диспетчер задач отображает далеко не полную картину по всем запущенным и запланированным процессам. Поэтому я бы рекомендовал использовать более продвинутые альтернативные программы Process Explorer или AnVir Task Manager, которые подробно описаны на нашем сайте.

Последним средством обнаружения возможного бота может стать мониторинг сетевой активности Вашего компьютера. Для этой цели я рекомендую воспользоваться программой NetWorx (увы, новые её версии стали платными, поэтому используем последнюю бесплатную версию 5.5.5). Открываем меню "Инструменты" и выбираем "Соединения". Просматриваем и проверяем IP-адреса всех подозрительных соединений со статусом ESTABLISHED (установленные) и LISTENING (прослушиваемые):

Мониторинг трафика с NetWorx

Особое внимание стоит обратить на порты, указанные после двоеточия Вашего Локального адреса. Дело в том, что многие боты для "общения" с другими ботами или сервером злоумышленников используют команды, передающиеся по IRC-каналу. Для IRC в Windows обычно зарезервированы порты 666x (чаще всего 6667 или 6668) и 194. Наличие TCP-трафика по этим портам при отсутствии у Вас IRC-клиента может быть явным признаком наличия на Вашем ПК бота.

После выявления бота его можно удалить. Если он представляет собой единый EXE-файл, то избавиться от него можно удалением данного файла. Однако, он может быть установлен как программа, драйвер и/или задача в Планировщике заданий. Поэтому для надёжности нужно будет проверить:

  • список установки-удаления программ;
  • список расширений установленных браузеров;
  • перечень автозагрузки;
  • список служб;
  • содержимое Планировщика задач.

Выводы

К сожалению, ботнеты (как и другое вирусное ПО) постоянно совершенствуются и обнаружить их становится всё сложнее и сложнее. Как говорится, спасение утопающего – дело рук самого утопающего. Поэтому не нужно полностью полагаться на защиту антивируса, а следует просто быть более внимательным при работе в Интернете и не игнорировать базовые правила кибербезопасности.

При подозрении же на наличие бота на Вашем компьютере не поленитесь лишний раз просканировать свой ПК антивирусом и проверить вручную все возможные места дислокации вируса. Этим Вы не только обезопасите себя, но и, возможно, предотвратите масштабную вирусную эпидемию или создание новой зомби-сети!

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

Если вы видели извержение вулкана только на экране телевизора и думаете, что можете безопасно понаблюдать за этим явлением воочию, имея возможность убежать от потока расплавленных камней, то вы должны знать: лава может вытекать со скоростью до 90 км/час. А ее температура достигает от 500 до 1200 °C.Вряд ли вам удастся убежать от потока вулканической лавы. 5 коротких фактов о природе

Да я знаю что на TP-Link нет прокси, просто люди пишут можно я переспрашиваю как.
Можно, конечно, беспалева чужой рутер перепрошить. Кстати, насколько это беспалева если даже сохранить настройки WAN/WLAN и восстановить их?

Click to expand...