Het botnet dat deze week door een coalitie van beveiligingsbedrijven werd uitgeschakeld blijkt nog altijd springlevend te zijn, aldus een beveiligingsbedrijf dat niet bij de operatie was betrokken. Woensdag werd het tweede Kelihos-botnet, bestaande uit 109.000 besmette machines, uit de lucht gehaald. Bij de operatie waren Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project betrokken.

De eerste variant van het botnet werd eind september door onder andere Microsoft, Kaspersky Lab en SURFnet uitgeschakeld. De tweede variant verspreidt zich via Facebook en gaat ondanks de operatie van woensdag nog gewoon door, aldus beveiligingsbedrijf Seculert. "De malware communiceert nog steeds met de Command & Control-servers via andere leden van het botnet. Dit betekent dat het Kelihos.B-botnet nog steeds actief is. Het blijft groeien met nieuwe machines en verstuurt actief spamberichten."

Facebook
De beveiliger zou inmiddels meer dan 70.000 Facebook-gebruikers hebben geïdentificeerd die met de worm besmet zijn en kwaadaardige links naar hun Facebook-vrienden sturen. De meeste besmette machines bevinden zich in Polen (54%) en VS (30%).

"Sommigen noemen dit mogelijk een "nieuwe variant" of Kelihos.C. Aangezien de nieuwe besmette machines door dezelfde groep criminelen bestuurd worden, die via de Facebook-worm ook toegang tot de afgesloten bots kunnen krijgen, vinden wij het beter om dit nog steeds het Kelihos.B-botnet te noemen."

Update 12:30
CrowdStrike stelt in een verklaring dat de botnetbeheerders geen controle meer over Kelihos.B hebben en dat de variant waar Seculert over spreekt Kelihos.C is.

Update 13:30
"We bevestigen dat een nieuw Kelihos-exemplaar bestaat, maar het heeft een andere configuratie, wat betekent dat het van een nieuw Kelihos-botnet afkomstig is", zegt Marco Preuss van Kaspersky Lab tegenover Security.nl. "De vorige versie, Kelihos-B, wordt bestuurd door de sinkhole-server. Het is niet ongewoon dat er nieuwe versies van botnets verschijnen die door dezelfde groep bestuurd lijken te worden."

Preuss merkt op dat de groep achter Kelihos al sinds 2007 botnets bestuurt. "Het zou naïef zijn geweest om te denken dat ze niet door zouden gaan met het maken van nieuwe botnets voor kwaadaardige doeleinden." De aanpak van Kelihos.A en Kelihos.B zou echter hebben bewezen dat de botnets niet onkwetsbaar zijn en wel degelijk zijn aan te pakken.

De enige echte oplossing om botnets uit te schakelen is volgens Preuss het opsporen en vervolgen van de mensen die erachter zitten.