Sospecho que en la mayoría de los casos, una vez que finaliza el ataque DDoS, las PC infectadas no suceden, y siguen estando infectadas, disponibles para otro ataque.
Los programas antivirus probablemente ya sabían sobre un malware tan bien distribuido. Existe la posibilidad de que algunos usuarios de antivirus tengan el malware eliminado automáticamente después del ataque, pero solo si el antivirus no lo eliminó antes.
El objetivo de la DDoS (es decir, Dyn recientemente) se centrará en mitigar el ataque rápidamente utilizando los recursos que pueden controlar directamente. Una vez hecho esto, es probable que no tengan un incentivo para limpiar los más de 100k dispositivos infectados en todo el mundo.
Prácticamente no pueden bloquear a las víctimas de DDoS para que no puedan acceder a su sistema a largo plazo, ya que la mayoría de las direcciones IP rotan con frecuencia y la lista completa de IP sería muy grande. Algunas (pero ciertamente no todas) las fuentes DDoS podrían haber sido bloqueadas por IP por un corto plazo, pero una vez que el ataque cese ya no sería necesario.
Sospecho que el atacante eventualmente detendrá el ataque si ya no es efectivo, ya que reduce las posibilidades de que la infección sea descubierta / eliminada, y libera recursos para otros ataques. (Podría estar equivocado con respecto a este. ¿Tal vez el ataque continúe mientras hablamos?)
No creo que haya ninguna agencia mundial o federal que intente limpiar a esos zombies. Los ISPs ciertamente no gastarán dinero haciendo esto a menos que tengan que hacerlo. Es costoso identificarlos y daría lugar a muchos clientes descontentos.
Probablemente el único que pueda limpiar esto sin la participación del usuario sea el proveedor del sistema operativo.
-
Microsoft puede utilizar Windows Update para enviar un script de eliminación de software malintencionado. Personalmente, no estoy seguro de si haré esto o no.
-
Los nuevos sistemas operativos como iOS, Chrome OS y Android tienen una mejor administración de sus tiendas de aplicaciones correspondientes y tienen la capacidad de extraer aplicaciones que podrían haber participado en un ataque DDoS. Sin embargo, es menos probable que los nuevos sistemas operativos estén infectados que los sistemas clásicos como Windows, Mac o Linux.
-
Editar: Resulta que muchos de los dispositivos infectados eran en realidad dispositivos IoT, como cámaras web independientes. Muchos mfg.s no tienen una manera de actualizar automáticamente esos dispositivos. Solo los propietarios de los dispositivos pueden encargarse de ellos.