image

"Dood" botnet besmet 70.000 Facebook-gebruikers *update 2*

vrijdag 30 maart 2012, 11:19 door Redactie, 3 reacties

Het botnet dat deze week door een coalitie van beveiligingsbedrijven werd uitgeschakeld blijkt nog altijd springlevend te zijn, aldus een beveiligingsbedrijf dat niet bij de operatie was betrokken. Woensdag werd het tweede Kelihos-botnet, bestaande uit 109.000 besmette machines, uit de lucht gehaald. Bij de operatie waren Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project betrokken.

De eerste variant van het botnet werd eind september door onder andere Microsoft, Kaspersky Lab en SURFnet uitgeschakeld. De tweede variant verspreidt zich via Facebook en gaat ondanks de operatie van woensdag nog gewoon door, aldus beveiligingsbedrijf Seculert. "De malware communiceert nog steeds met de Command & Control-servers via andere leden van het botnet. Dit betekent dat het Kelihos.B-botnet nog steeds actief is. Het blijft groeien met nieuwe machines en verstuurt actief spamberichten."

Facebook
De beveiliger zou inmiddels meer dan 70.000 Facebook-gebruikers hebben geïdentificeerd die met de worm besmet zijn en kwaadaardige links naar hun Facebook-vrienden sturen. De meeste besmette machines bevinden zich in Polen (54%) en VS (30%).

"Sommigen noemen dit mogelijk een "nieuwe variant" of Kelihos.C. Aangezien de nieuwe besmette machines door dezelfde groep criminelen bestuurd worden, die via de Facebook-worm ook toegang tot de afgesloten bots kunnen krijgen, vinden wij het beter om dit nog steeds het Kelihos.B-botnet te noemen."

Update 12:30
CrowdStrike stelt in een verklaring dat de botnetbeheerders geen controle meer over Kelihos.B hebben en dat de variant waar Seculert over spreekt Kelihos.C is.

Update 13:30
"We bevestigen dat een nieuw Kelihos-exemplaar bestaat, maar het heeft een andere configuratie, wat betekent dat het van een nieuw Kelihos-botnet afkomstig is", zegt Marco Preuss van Kaspersky Lab tegenover Security.nl. "De vorige versie, Kelihos-B, wordt bestuurd door de sinkhole-server. Het is niet ongewoon dat er nieuwe versies van botnets verschijnen die door dezelfde groep bestuurd lijken te worden."

Preuss merkt op dat de groep achter Kelihos al sinds 2007 botnets bestuurt. "Het zou naïef zijn geweest om te denken dat ze niet door zouden gaan met het maken van nieuwe botnets voor kwaadaardige doeleinden." De aanpak van Kelihos.A en Kelihos.B zou echter hebben bewezen dat de botnets niet onkwetsbaar zijn en wel degelijk zijn aan te pakken.

De enige echte oplossing om botnets uit te schakelen is volgens Preuss het opsporen en vervolgen van de mensen die erachter zitten.

Reacties (3)
30-03-2012, 15:17 door Anoniem
Crowdstrike = pwned :)
02-04-2012, 08:48 door Anoniem
Wat maakt het voor die mensen eignelijk uit dat computers geinfecteerd zijn ? Hun worden er niet rijker of armer van
03-04-2012, 18:40 door sabofx
Door Anoniem: Wat maakt het voor die mensen eignelijk uit dat computers geinfecteerd zijn ? Hun worden er niet rijker of armer van

Redenen om niet geïnfecteerd te willen zijn:
* Verlies van processor, netwerk & geheugen capaciteit
* Virussen (of is het viri?) kunnen je systeem onstabiel maken. Klanttevredenheid zal niet hoog op de prioriteiten lijst staan bij de programmeurs
* Virussen kunnen gebruikt worden om m.b.v. je privé data & keyloggers:
+ je bankrekening te plunderen
+ je creditcard misbruiken
+ Identiteitsfraude plegen (allerlei diensten/producten/leningen onder jouw naam afnemen)

En indirect ondervind je er op lange termijn ook nadeel van. Botnets worden gebruikt om:
* Spam & scams te versturen
* Bedrijven te chanteren met de dreiging hun website plat te leggen
De kosten van bedrijven en overheden om zich hiertegen te kunnen verdedigen worden uiteindelijk toch weer op jou en mij verhaald.

Dus eignelijk worden hun er toch wel een beetje armer van.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.