在其最初的形式中,一個機器人程序并不是一種惡意軟件。機器人程序代碼是被創造出用于IRC(Internet在線聊天系統)頻道的自動維護與管理的。盡管最終,更多的惡意程序開發者意識到機器人代碼也能夠用來隱秘的滲透未設防的計算機系統和提供一種劫持或者控制那些電腦來運行其他惡意任務(程序)的方法。
機器人程序代碼可以通過多種方式運行于計算機系統之上。那些訪問IRC聊天房間或者訪問可疑網站的用戶將面臨更高的被機器人程序侵入的風險。一些機器人程序,諸如Agobot(一種由IRC控制的具有網絡傳播權限的后門程序)的變種,同樣也可以以網絡共享和點對點對等網絡文件共享蠕蟲的形式來傳播自己。
機器人程序的威脅
計算機系統變的容易被機器人程序代碼侵害的典型方式是啟動與IRC頻道的通訊并在里面注冊自己的計算機和在IRC頻道里宣布這臺計算機是處在活動狀態的。此時,這臺計算機本質上是處在靜止狀態的,等待攻擊者的命令去告訴它下一步該做什么。
成百上千,甚至有可能幾百萬的的計算機都被機器人程序的代碼入侵了。這些計算機就象所謂的“僵尸”一般,因為它們都一直處在靜止的狀態,直到收到了攻擊的命令之后就死而復生并開始攻擊。
機器人程序網絡,或者是搜集到的已經被機器人程序感染的電腦,都保留在地下秘密名單中,并且被惡意的黑客們買賣交易著。通過激活靜止狀態的僵尸和對它們發布執行特定行動的命令,一個包含著上千臺計算機的僵尸大軍可以用來對特定的網站發動拒絕服務(DoS)攻擊,傳播一種新的有威脅的蠕蟲病毒或者發送數百萬份垃圾郵件信息而無法被追蹤到其真實的來源。
擊敗機器人程序
傳統上來說,機器人程序主要損害和沖擊的是家庭電腦用戶。盡管如此,機器人程序代碼和機器人網絡對于公司網絡來說也是一個正在上升的威脅。就整個互聯網來說,McAfee在過去的三個月當中已經四次阻止了機器人程序侵入事件。為了使你的計算機加入到網絡不死之身(Cyber-undead國內好像沒有什么確切的翻譯)的行列并且保護你的網絡不被機器人網絡所控制,就按照以下的幾個步驟去做:
在防火墻中阻止本地未經請求的的通信:甚至如果網絡中的計算機系統已經被侵入,但是它們在攻擊者無法與它們連通的情況下是不可能被激活的。
經常對殺毒軟件進行升級:目前已知的機器人程序的威脅都可以被殺毒軟件所檢測到并將其移除。用已經升級的殺毒軟件進行周期性的掃描可以定位并移除大部分感染的機器人程序。
保持計算機系統的及時升級更新(保持計算機系統的及時補丁程序的升級更新):機器人程序就如同其他惡意軟件一樣,經常利用未打補丁系統的脆弱性來傳染和危害易受攻擊的系統。已經打好補丁的系統被感染的幾率將會更小。
使用IDS或者IPS檢測:一個運行在內部網絡的侵入竊密檢測或者侵入預防系統可以識別可疑的活動行為并且向你發出報警或者采取行動將其終止。
阻止25端口的對外通訊:在你的網絡當中,只有已知的電子郵件服務器可以被允許進行SMTP電子郵件通信的發布。阻止來自未知的電子郵件服務器的對外SMTP通信可以有助于阻止多種惡意軟件的傳播和防止內部網絡中的計算機被用作垃圾郵件的發布(發散)節點。
這些都是確定的不常見的預防方法,但是對于機器人程序和機器人程序網絡的特性特征需要Windows專業安全研究人員的特別關注和了解。一個機器人程序可以僅僅潛伏在表面之下,時刻準備在一個惡意的黑客的要求下而突然爆發。只有一個有組織的研究計劃才可以幫助減輕機器人程序所帶來的威脅。
