在其最初的形式中,一個(gè)機(jī)器人程序并不是一種惡意軟件。機(jī)器人程序代碼是被創(chuàng)造出用于IRC(Internet在線聊天系統(tǒng))頻道的自動(dòng)維護(hù)與管理的。盡管最終,更多的惡意程序開發(fā)者意識(shí)到機(jī)器人代碼也能夠用來隱秘的滲透未設(shè)防的計(jì)算機(jī)系統(tǒng)和提供一種劫持或者控制那些電腦來運(yùn)行其他惡意任務(wù)(程序)的方法。
機(jī)器人程序代碼可以通過多種方式運(yùn)行于計(jì)算機(jī)系統(tǒng)之上。那些訪問IRC聊天房間或者訪問可疑網(wǎng)站的用戶將面臨更高的被機(jī)器人程序侵入的風(fēng)險(xiǎn)。一些機(jī)器人程序,諸如Agobot(一種由IRC控制的具有網(wǎng)絡(luò)傳播權(quán)限的后門程序)的變種,同樣也可以以網(wǎng)絡(luò)共享和點(diǎn)對點(diǎn)對等網(wǎng)絡(luò)文件共享蠕蟲的形式來傳播自己。
機(jī)器人程序的威脅
計(jì)算機(jī)系統(tǒng)變的容易被機(jī)器人程序代碼侵害的典型方式是啟動(dòng)與IRC頻道的通訊并在里面注冊自己的計(jì)算機(jī)和在IRC頻道里宣布這臺(tái)計(jì)算機(jī)是處在活動(dòng)狀態(tài)的。此時(shí),這臺(tái)計(jì)算機(jī)本質(zhì)上是處在靜止?fàn)顟B(tài)的,等待攻擊者的命令去告訴它下一步該做什么。
成百上千,甚至有可能幾百萬的的計(jì)算機(jī)都被機(jī)器人程序的代碼入侵了。這些計(jì)算機(jī)就象所謂的“僵尸”一般,因?yàn)樗鼈兌家恢碧幵陟o止的狀態(tài),直到收到了攻擊的命令之后就死而復(fù)生并開始攻擊。
機(jī)器人程序網(wǎng)絡(luò),或者是搜集到的已經(jīng)被機(jī)器人程序感染的電腦,都保留在地下秘密名單中,并且被惡意的黑客們買賣交易著。通過激活靜止?fàn)顟B(tài)的僵尸和對它們發(fā)布執(zhí)行特定行動(dòng)的命令,一個(gè)包含著上千臺(tái)計(jì)算機(jī)的僵尸大軍可以用來對特定的網(wǎng)站發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊,傳播一種新的有威脅的蠕蟲病毒或者發(fā)送數(shù)百萬份垃圾郵件信息而無法被追蹤到其真實(shí)的來源。
擊敗機(jī)器人程序
傳統(tǒng)上來說,機(jī)器人程序主要損害和沖擊的是家庭電腦用戶。盡管如此,機(jī)器人程序代碼和機(jī)器人網(wǎng)絡(luò)對于公司網(wǎng)絡(luò)來說也是一個(gè)正在上升的威脅。就整個(gè)互聯(lián)網(wǎng)來說,McAfee在過去的三個(gè)月當(dāng)中已經(jīng)四次阻止了機(jī)器人程序侵入事件。為了使你的計(jì)算機(jī)加入到網(wǎng)絡(luò)不死之身(Cyber-undead國內(nèi)好像沒有什么確切的翻譯)的行列并且保護(hù)你的網(wǎng)絡(luò)不被機(jī)器人網(wǎng)絡(luò)所控制,就按照以下的幾個(gè)步驟去做:
在防火墻中阻止本地未經(jīng)請求的的通信:甚至如果網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)已經(jīng)被侵入,但是它們在攻擊者無法與它們連通的情況下是不可能被激活的。
經(jīng)常對殺毒軟件進(jìn)行升級(jí):目前已知的機(jī)器人程序的威脅都可以被殺毒軟件所檢測到并將其移除。用已經(jīng)升級(jí)的殺毒軟件進(jìn)行周期性的掃描可以定位并移除大部分感染的機(jī)器人程序。
保持計(jì)算機(jī)系統(tǒng)的及時(shí)升級(jí)更新(保持計(jì)算機(jī)系統(tǒng)的及時(shí)補(bǔ)丁程序的升級(jí)更新):機(jī)器人程序就如同其他惡意軟件一樣,經(jīng)常利用未打補(bǔ)丁系統(tǒng)的脆弱性來傳染和危害易受攻擊的系統(tǒng)。已經(jīng)打好補(bǔ)丁的系統(tǒng)被感染的幾率將會(huì)更小。
使用IDS或者IPS檢測:一個(gè)運(yùn)行在內(nèi)部網(wǎng)絡(luò)的侵入竊密檢測或者侵入預(yù)防系統(tǒng)可以識(shí)別可疑的活動(dòng)行為并且向你發(fā)出報(bào)警或者采取行動(dòng)將其終止。
阻止25端口的對外通訊:在你的網(wǎng)絡(luò)當(dāng)中,只有已知的電子郵件服務(wù)器可以被允許進(jìn)行SMTP電子郵件通信的發(fā)布。阻止來自未知的電子郵件服務(wù)器的對外SMTP通信可以有助于阻止多種惡意軟件的傳播和防止內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)被用作垃圾郵件的發(fā)布(發(fā)散)節(jié)點(diǎn)。
這些都是確定的不常見的預(yù)防方法,但是對于機(jī)器人程序和機(jī)器人程序網(wǎng)絡(luò)的特性特征需要Windows專業(yè)安全研究人員的特別關(guān)注和了解。一個(gè)機(jī)器人程序可以僅僅潛伏在表面之下,時(shí)刻準(zhǔn)備在一個(gè)惡意的黑客的要求下而突然爆發(fā)。只有一個(gè)有組織的研究計(jì)劃才可以幫助減輕機(jī)器人程序所帶來的威脅。
