在其最初的形式中,一个机器人程序并不是一种恶意软件。机器人程序代码是被创造出用于IRC(Internet在线聊天系统)频道的自动维护与管理的。尽管最终,更多的恶意程序开发者意识到机器人代码也能够用来隐秘的渗透未设防的计算机系统和提供一种劫持或者控制那些电脑来运行其他恶意任务(程序)的方法。
机器人程序代码可以通过多种方式运行于计算机系统之上。那些访问IRC聊天房间或者访问可疑网站的用户将面临更高的被机器人程序侵入的风险。一些机器人程序,诸如Agobot(一种由IRC控制的具有网络传播权限的后门程序)的变种,同样也可以以网络共享和点对点对等网络文件共享蠕虫的形式来传播自己。
机器人程序的威胁
计算机系统变的容易被机器人程序代码侵害的典型方式是启动与IRC频道的通讯并在里面注册自己的计算机和在IRC频道里宣布这台计算机是处在活动状态的。此时,这台计算机本质上是处在静止状态的,等待攻击者的命令去告诉它下一步该做什么。
成百上千,甚至有可能几百万的的计算机都被机器人程序的代码入侵了。这些计算机就象所谓的“僵尸”一般,因为它们都一直处在静止的状态,直到收到了攻击的命令之后就死而复生并开始攻击。
机器人程序网络,或者是搜集到的已经被机器人程序感染的电脑,都保留在地下秘密名单中,并且被恶意的黑客们买卖交易着。通过激活静止状态的僵尸和对它们发布执行特定行动的命令,一个包含着上千台计算机的僵尸大军可以用来对特定的网站发动拒绝服务(DoS)攻击,传播一种新的有威胁的蠕虫病毒或者发送数百万份垃圾邮件信息而无法被追踪到其真实的来源。
击败机器人程序
传统上来说,机器人程序主要损害和冲击的是家庭电脑用户。尽管如此,机器人程序代码和机器人网络对于公司网络来说也是一个正在上升的威胁。就整个互联网来说,McAfee在过去的三个月当中已经四次阻止了机器人程序侵入事件。为了使你的计算机加入到网络不死之身(Cyber-undead国内好像没有什么确切的翻译)的行列并且保护你的网络不被机器人网络所控制,就按照以下的几个步骤去做:
在防火墙中阻止本地未经请求的的通信:甚至如果网络中的计算机系统已经被侵入,但是它们在攻击者无法与它们连通的情况下是不可能被激活的。
经常对杀毒软件进行升级:目前已知的机器人程序的威胁都可以被杀毒软件所检测到并将其移除。用已经升级的杀毒软件进行周期性的扫描可以定位并移除大部分感染的机器人程序。
保持计算机系统的及时升级更新(保持计算机系统的及时补丁程序的升级更新):机器人程序就如同其他恶意软件一样,经常利用未打补丁系统的脆弱性来传染和危害易受攻击的系统。已经打好补丁的系统被感染的几率将会更小。
使用IDS或者IPS检测:一个运行在内部网络的侵入窃密检测或者侵入预防系统可以识别可疑的活动行为并且向你发出报警或者采取行动将其终止。
阻止25端口的对外通讯:在你的网络当中,只有已知的电子邮件服务器可以被允许进行SMTP电子邮件通信的发布。阻止来自未知的电子邮件服务器的对外SMTP通信可以有助于阻止多种恶意软件的传播和防止内部网络中的计算机被用作垃圾邮件的发布(发散)节点。
这些都是确定的不常见的预防方法,但是对于机器人程序和机器人程序网络的特性特征需要Windows专业安全研究人员的特别关注和了解。一个机器人程序可以仅仅潜伏在表面之下,时刻准备在一个恶意的黑客的要求下而突然爆发。只有一个有组织的研究计划才可以帮助减轻机器人程序所带来的威胁。