Zombie to określenie na zainfekowane komputery, które posłusznie, nie zgłaszając skarg i zażaleń, wykonują polecenia pochodzące od swoich zdalnych zleceniodawców. Liczba zombie rośnie lawinowo, a każda kolejna ofiara staje się w końcu poddanym tego samego pana, budującego wokół siebie botnet.

Przedstawiamy kilka rad, jak uchronić się przed zombie:

1. Regularnie sprawdzaj swój komputer.

• Zombie mogą być bardzo cierpliwe. Ich kod uruchamia się wiele tygodni, a nawet miesięcy po infekcji. Nie wolno zakładać, że wszystko jest w porządku, już po jednorazowej kontroli, która nie wykryje szkodliwych działań.

2. Nie polegaj wyłącznie na samodzielnej kontroli ani na komunikatach zwracanych przez komputer.

• Najlepszym sposobem na zidentyfikowanie zombie jest analiza ruchu sieciowego przez serwer bramowy.
• Zombie mogą zarażać komputery rootkitami, zdobywając uprawnienia na poziomie jądra systemu, co w istocie umożliwi im przejęcie kontroli nad systemem operacyjnym, a w konsekwencji ukrywanie plików, okien, ruchu sieciowego itd.

3. Poddawaj komputer kwarantannie w chwili wykrycia infekcji lub wystąpienia sugerujących ją przesłanek, takich jak fałszywe wyskakujące okna programów antywirusowych.

• Przed ponownym podłączeniem komputera do sieci konieczne jest jego gruntowne oczyszczenie.
• Zombie zarabiają pieniądze dla swoich zleceniodawców. Najprostszy sposób to tzw. scareware, czyli wyskakujące okna zalecające użytkownikowi zakup programu do usuwania wirusów. To ewidentny objaw, że zamieszkujący komputer zombie pobrał oprogramowanie w celu wyłudzenia pieniędzy. Zombie potrafią szybko infekować inne komputery w sieci lokalnej. Dlatego tak ważne jest niezwłoczne zarządzenie kwarantanny do momentu usunięcia zagrożenia. Narzędzi do usuwania rootkitów i złośliwego oprogramowania jest wiele w sieci.

4. Na bieżąco monitoruj profil ruchu sieciowego.

• Zombie często mają zwyczaj regularnego przesyłania takich samych odpowiedzi do tych samych serwerów z wykorzystaniem tego samego portu, zwykle jest to port HTTP. Wykrycie jednorodnego strumienia wychodzących żądań HTTP kierowanych na ten sam adres IP, zwłaszcza jeśli nie jest uruchomiona żadna przeglądarka, oznacza spore szanse, że w systemie zagnieździł się zombie.

5. Sprawdzaj ruch wychodzący.

• Zapobieganie włamaniom pomaga powstrzymać zombie przed przejęciem sieci. Ta sama technologia może być również pomocna w wykrywaniu pogawędek pomiędzy zombie. Nawet jeśli komputer jest zainfekowany przez zombie, wykrywając i blokując ruch generowany przez niego w stronę zleceniodawcy, można skutecznie ograniczyć jego szkodliwość. Zombie nadal żyje, ale nie może odbierać poleceń ani wysyłać danych, takich jak np. bankowe dane uwierzytelniające.

6. Unikaj infekcji i broń się przed atakami.

• Zombie rozprzestrzeniają się w załącznikach do wiadomości e-mail, przez złośliwe odnośniki, za pośrednictwem napędów USB i dokumentów PDF. Należy upewnić się, że funkcja automatycznego uruchamiania jest wyłączona. Zarażenie następuje zwykle w następstwie otwarcia pliku lub kliknięcia łącza. Dlatego zawsze przed kliknięciem łącza trzeba mu się dokładnie przyjrzeć. Dokąd ono prowadzi? Czy nazwa domeny nie zawiera błędów? Bez względu na to, czy łącze dostaliśmy w wiadomości e-mail, w serwisie społecznościowym czy przez komunikator internetowy – należy stosować ten sam proces myślenia. Źródłem infekcji mogą być również pliki PDF, DOC i XLS. Przed ich otwarciem trzeba zatem poświęcić chwilę na analizę wiadomości e-mail, do której były załączone lub która zawierała prowadzące do nich łącze.

7. Stosuj zasadę zintegrowanego zarządzania zagrożeniami (ang. unified threat management, UTM), czyli zabezpieczaj się przed różnymi zagrożeniami jednocześnie.

• Ochrona antywirusowa może pomóc uniemożliwić uruchomienie kodu binarnego zombie w systemie.
• Mechanizmy zapobiegania włamaniom mogą pomóc przeszkodzić dodatkom do przeglądarek w umieszczaniu kodu zombie w systemie za pośrednictwem złośliwej witryny.
• Filtrowanie stron WWW może pomóc zablokować dostęp do szkodliwych adresów URL nawet przed przesłaniem złośliwego kodu do przeglądarki (i poddaniem go analizie).
• Mechanizmy antyspamowe mogą pomóc oznaczyć flagami złośliwe wiadomości e-mail zawierające załączniki lub łącza.
• Kontrola aplikacji może pomóc zablokować komunikację pomiędzy zarażonymi komputerami, izolując je od ich zleceniodawcy

Derek Manky
główny strateg ds. bezpieczeństwa w laboratoriach FortiGuard