协调的恶意软件抵制根除

Botnetwebs不仅能让骗子一次性向数百万台PC发送垃圾邮件或恶意软件。它们也代表使用多个文件的高度灵活感染。消毒的尝试可能会消除一些文件，但那些留下的文件通常会重新下载擦掉的文件。“FireEye的Atif Mushtaq写道，罪魁祸首”并不是一群坐在黑暗的房间里开发这些僵尸网络的乐趣，这是一家名为

botnetweb

的米尔皮塔斯加利福尼亚安全公司。 “ [进一步阅读：如何从Windows PC中移除恶意软件] You Scratch My Back …

过去，恶意软件之间的竞争作家有时候意味着一种感染可能会在机器上寻找对手的感染，然后将其移除。最近，引人注目的Conficker蠕虫修复了它利用Windows感染机器的漏洞，有效地关闭了它自身的门，以防止其他恶意软件感染。

FireEye发现的证据不是竞争，而是主要合作与协调垃圾邮件僵尸网络，代表了恶意软件工作方式的巨变。该公司调查了用于向机器人发送前进命令的命令和控制（C&C）服务器，这些服务器可能包括转发垃圾邮件或下载其他恶意文件。就Pushdo，Rustock和Srizbi僵尸网络而言，它发现每个僵尸网络头部的C&C服务器都在同一个托管设施中;用于服务器的IP地址也落在相同的范围内。如果不同的僵尸网络一直在竞争，他们可能不会有数字揉肘。

一个僵尸网络是数百万个电脑强大

个僵尸网络的证据来自加利福尼亚州的一家网络安全设备公司Finjan。 Finjan报告发现一个能够发送垃圾邮件，恶意软件或远程控制命令的C&C服务器可以运行190万个机器人。

C&C服务器有6个管理员帐户，还有一个脏程序缓存。 Finjan营销总监Ophir Shalitin表示，Finjan不知道哪些程序可能已经感染了哪些PC - 或者更重要的是，哪些恶意软件造成了最初的感染。该公司追踪了（现已停止使用的）C&C服务器的IP地址到乌克兰，并发现证据表明僵尸网络资源每天以每千机器人100美元的价格出租。

据FireEye高级安全研究员Alex Lanstein称，僵尸网络给坏人带来很多好处。如果执法部门或安全公司要关闭任何一个僵尸网络的C&C服务器，这个骗子仍然可以从幸存的僵尸网络中获利。

创建这样的僵尸网络通常以“dropper”恶意软件开始，Lanstein说， “简 - 简，香草技术”，并没有奇怪的编码或行动，可能会提高防病毒应用程序的红旗。一旦滴管进入PC（通常通过驱动下载或电子邮件附件），它可能会引入特洛伊木马，例如Finjan服务器发现的Hexzone恶意软件。在VirusTotal的39个防病毒引擎中，只有4个检测到Hexzone变体。

重击消除

现在，经常会涉及多个恶意软件文件，这使得入侵者在脸上更具弹性试图根除它。

在Malwarebyte的RogueRemover中观察到的清除Zeus特洛伊木马的尝试中，Lanstein说这是一种普遍有效的消毒剂，但RogueRemover发现了一些但不是全部文件。几分钟后，兰斯坦说，其中一个剩余文件与其C&C服务器进行通信，并立即重新下载删除的文件。

防病毒厂商Eset的技术教育总监Randy Abrams说：“仅仅运行一个给定的防病毒工具就可以清理所有这些问题。艾布拉姆斯，兰斯坦和其他安全专家强调，如果您的防病毒软件“移除”感染，则不应认为恶意软件已经消失。您可以尝试下载并运行额外的工具，如RogueRemover。其他人，如HijackThis或Eset的SysInspector，将会分析你的电脑并创建一个日志，让你在Bleeping Computer等网站发布信息，经验丰富的志愿者可以提供量身定制的建议。

更好的策略是确保你的电脑没有感染首先。安装更新以关闭逐步下载网站可能利用的漏洞 - 不仅在Windows中，而且在Adobe Reader等应用程序中。为了防止中毒的电子邮件附件或其他文件，请勿打开任何意外的附件或下载;通过与许多专家使用的免费扫描网站VirusTotal运行任何你不清楚的事情。