Det enklaste sättet att se om man fastnat i ett botnet är att titta på trafiken från datorn. Börjar det krypa ut trafik ur datorn som man är säker på att man själv inte är upphov till, då finns det stor risk att det är en botnetsklient som ligger bakom.
Tyvärr står datorn inte och sprutar ur sig trafik så man blir tvungen att rycka ur kabeln – längre. Visserligen var det obehagligt, men man märkte i alla fall att man var infekterad och kunde göra något åt det. Istället smyger botnetsklienterna med spammeddelandena när man skickar vanlig epost, eller surfar på nätet. Då går det inte att upptäcka att en del av trafiken är sådant man inte själv bestämt.
Förebygg trafiken
Det krävs en systemadministratör som har tid att göra förebyggande arbete för att det skall bli av. Det hjälper litet att botnets inte använder traditionella kommunikationsprotokoll, även om botnetmakarna har blivit smartare där också. Att stoppa allt utom port 8080 (som används av HTTP, det protokoll som alla webbsidor använder) blockerar allt som inte är webbsurfing, inklusive de peer-to-peerprotokoll som botnetprogrammen använder för att distribuera sina data. Om det inte vore så att botnetprogrammen hade börjat använda samma protokoll som den riktiga trafiken från datorn, förstås.
Antivirus tar bort botnet
Antivirusprogram hittar som regel botnetsklienterna, men om man inte har ett antivirusprogram som ligger och går (alltid en bra försäkring), så kommer man inte att veta när man ska starta eller skaffa det. Om man inte blir tillsagd av systemadminstratören, eller i värsta fall Internetleverantören, som vill ge en varning innan de stänger av kontot.
Ekonomisk drivkraft
När det första maskprogrammet kom ut på nätet skickade den ut epost till alla mottagare i adressboken på den dator där viruset öppnats, och följde med själv. Det var inte tänkt som något elakt, men smarta programmakare utan moral upptäckte snart nog att det här var ett effektivt sätt att sprida spam – obeställd epost. Och det är det som är den ekonomiska drivkraften bakom dagens ”botnets” – datorer som tagits över och skickar ut epost, ofta beställd av mindre nogräknade företag. Eller som innehåller virus. Botnet-klienterna går också igenom datorn och hittar information som är användbar för skurkar, som bankkonton, lösenord, med mera. Det är ofta så en botnetsinfektion upptäcks numera: Banker och andra märker att det sker aktiviteter på konton där det normalt inte händer. Det kan vara små uttag, mindre än några kronor. Det kan vara transaktioner som flyttar större belopp till ett annat konto, och sedan lägger tillbaka dem (så skurkarna kan tillgodoräkna sig räntan under den tid de ”lånat” pengarna). Det kan vara kontokort som plötsligt debiteras av affärer i länder där man aldrig har varit.
Omöjligt hålla egen koll
Det, i kombination med utgående trafik från datorn som man är säker på att man inte själv är upphovsman till, är ett säkert tecken på att man blivit infekterad av ett botnet. Särskilt inte numera, när webbsidor ofta är komponerade av delar som kommer från många olika leverantörer. Hur ska man veta att ”yieldmanager.com” är ett legitimt konto (det hör till Yahoo), och inte en adress som skickar ens spam vidare?
Gör såhär:
- Kontrollera trafiken från datorn
- Använd antivirusprogram
- Var uppmärksam på transaktioner på dina konton
Jag vill också passa på och tipsa om Daniels blogg om datorer och prylar
Andra bloggar
- Andra bloggar Hur vet man om man fastnat i ett botnet?