A limpeza de botnets demora anos para ser concluída - se é que

No final de 2008, um worm chamado Conficker começou a infectar milhões de computadores, colocando em ação a comunidade de segurança de computadores. A rápida disseminação do Conficker foi tão alarmante que uma organização foi formada, chamada Conficker Working Group, encarregada de parar o botnet e encontrar seus criadores.

Muitos países também formaram seus próprios grupos que trabalharam com provedores de serviços de Internet para remover infecções dos computadores dos usuários. Mas, sete anos depois, ainda há cerca de 1 milhão de computadores em todo o mundo infectados com o malware, apesar do esforço de limpeza que durou anos.

[Leia mais: Como remover malware do seu PC Windows]

Pesquisadores na Holanda analisamos esses esforços e tentamos descobrir o que deu certo e errado, a fim de orientar os futuros esforços de combate à rede de bots. Seu trabalho de pesquisa será apresentado na próxima semana no 24º Simpósio de Segurança USENIX em Washington, DC

“Essas pessoas que continuam infectadas podem permanecer infectadas para sempre”, disse Hadi Asghari, professor assistente da Universidade de Tecnologia de Delft, na Holanda.

Em dezembro de 2008, a Microsoft corrigiu a vulnerabilidade no Windows XP usada pelo Conficker que permitia que arquivos remotos fossem executados se o compartilhamento de arquivos estivesse habilitado. Mas os recursos do worm do Conficker tornaram-no surpreendentemente resistente e continuaram a infectar computadores, mesmo quando os pesquisadores assumiram o sistema de comando e controle da botnet.

Esforços especiais de países individuais para controlar a disseminação do Conficker, como na Finlândia, ajudaram a manter confira, Asghari disse. Alguns outros países avançados, incluindo a Noruega e a Suécia, não tiveram programas de remediação do Conficker, mas ainda conseguiram mantê-lo sob controle, afirmou.

Pesquisadores ainda monitoram computadores infectados pelo Conficker desde que assumiram o controle da botnet anos atrás. Asghari disse que sua equipe viu mais de 1 milhão de endereços IP de máquinas infectadas ligando para um sumidouro para obter instruções, mas é difícil descobrir que tipo de máquinas são essas e por que ainda podem estar infectadas.

Asghari disse que é provável que muitos os computadores provavelmente estão executando o Windows XP sem atualizações automáticas instaladas. Também é possível que alguns deles raramente sejam atualizados ou abandonados sistemas incorporados.

Às vezes, era difícil para os provedores de Internet ajudarem os consumidores a limpar seus computadores infectados. Asghari disse que falou com um ISP que contatou o mesmo cliente 36 vezes em um esforço para se livrar do Conficker.

“Toda vez que o cliente diz que eu limpei tudo, mas a infecção retornaria”, ele disse.

Os resultados apontam para a necessidade de tornar mais fácil para os consumidores consertarem seus computadores, disse Asghari. A comunidade de segurança de computadores também deve perceber que os esforços de limpeza são valiosos, mas muitas vezes lentos, e uma mentalidade de maratona precisa ser adotada.

Também é bom lembrar que se esses computadores estiverem infectados pelo Conficker, eles também estarão vulneráveis. a uma série de outras ameaças mais atuais que poderiam usar as máquinas para mais ataques, disse Asghari.

A equipe de Asghari também teve acesso a dados do botnet Gameover Zeus, um mais recente que foi interrompido pela polícia e pesquisadores em junho 2014.

Até 10% dos computadores infectados com esse malware também foram infectados pelo Conficker, mostrando que computadores mal protegidos podem ser continuamente abusados.

Mesmo que esses computadores vulneráveis ​​incluam uma pequena porcentagem da Internet, ainda assim "Se transforma em milhões de computadores", disse Asghari.

O artigo também foi co-autoria de Michael Ciere e Michel JG. van Eeten, ambos da Universidade de Tecnologia de Delft.