Обнаружение бот-инфекции на компьютере

Ботнет (Botnet) — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удаленной системе, добычи криптовалют или DDoS-атак.

Чаще всего обнаружение ботов на устройстве затруднено тем, что боты работают абсолютно автономно без участия пользователя. Однако можно выделить несколько признаков, являющихся доказательством наличия бот-инфекции на компьютере:
  • IRC-трафик (так как ботнеты используют IRC-каналы для связи);
  • Соединения с серверами, замеченными в составе ботнетов;
  • Высокий исходящий SMTP-трафик;
  • Несколько компьютеров в сети, выполняющие одинаковые DNS-запросы;
  • Медленная работа компьютера;
  • Большая нагрузка процессора или видеокарты;
  • Резкое увеличение трафика, особенно на портах 6667 (используется для IRC), 25 (SMTP-порт), 1080 (используется прокси-серверами);
  • Подозрительные исходящие сообщения, которые были отправлены не пользователем;
  • Проблемы с доступом в интернет
 
Верх