Det enklaste sättet att se om man fastnat i ett botnet är att titta på trafiken. Börjar det komma trafik ur datorn som man är säker på att man själv inte är skickat, då finns det stor risk att det är en botnetsklient som ligger bakom. Nackdelen är förstås att som vanlig användare gör man knappast det. Det krävs en systemadministratör som har tid att göra förebyggande arbete för att det skall bli av.

Denna artikel är inspirerad av Fredrik på Datorinfo, en websida där du hittar guider och artiklar om mjukvara och datorer.

Botnet gömmer data

Kombinationen av utgående trafik från datorn som man är säker på att man inte själv är upphovsman till och plötsliga email från adresser man aldrig skickat något till är ett säkert tecken på att man blivit infekterad av ett botnet. Men tyvärr står datorn inte och sprutar ur sig trafik så man blir tvungen att rycka ur kabeln – längre. Visserligen var det obehagligt, men man märkte i alla fall att man var infekterad och kunde göra något åt det. Istället smyger botnetsklienterna med spammeddelandena när man skickar vanlig epost, eller surfar på nätet. Då går det inte att upptäcka att en del av trafiken är sådant man inte själv bestämt.

Webben ställer till

Det hjälper litet att botnets inte använder traditionella kommunikationsprotokoll, även om botnetmakarna har blivit smartare där också. Att stoppa allt utom port 8080 (som används av HTTP, det protokoll som alla webbsidor använder) blockerar allt som inte är webbsurfing, inklusive de peer-to-peerprotokoll som botnetprogrammen använder för att distribuera sina data. Om det inte vore så att botnetprogrammen hade börjat använda samma protokoll som den riktiga trafiken från datorn, förstås.

Särskilt inte numera, när webbsidor ofta är komponerade av delar som kommer från många olika leverantörer. Hur ska man veta att ”yieldmanager.com” är ett legitimt konto (det hör till Yahoo), och inte en adress som skickar ens spam vidare?

Antivirusprogram hittar som regel botnetsklienterna, men om man inte har ett antivirusprogram som ligger och går (alltid en bra försäkring), så kommer man inte att veta när man ska starta eller skaffa det. Om man inte blir tillsagd av systemadminstratören, eller i värsta fall Internetleverantören, som vill ge en varning innan de stänger av kontot.

Botnet för bedragare

När det första maskprogrammet kom ut på nätet skickade den ut epost till alla mottagare i adressboken på den dator där viruset öppnats, och följde med själv. Det var inte tänkt som något elakt, men smarta programmakare utan moral upptäckte snart nog att det här var ett effektivt sätt att sprida spam – obeställd epost. Och det är det som är den ekonomiska drivkraften bakom dagens ”botnets” – datorer som tagits över och skickar ut epost, ofta beställd av mindre nogräknade företag. Eller som innehåller virus. Botnet-klienterna går också igenom datorn och hittar information som är användbar för skurkar, som bankkonton, lösenord, med mera. Det är ofta så en botnetsinfektion upptäcks numera: Banker och andra märker att det sker aktiviteter på konton där det normalt inte händer. Det kan vara små uttag, mindre än några kronor. Det kan vara transaktioner som flyttar större belopp till ett annat konto, och sedan lägger tillbaka dem (så skurkarna kan tillgodoräkna sig räntan under den tid de ”lånat” pengarna). Det kan vara kontokort som plötsligt debiteras av affärer i länder där man aldrig har varit.