Het Kraken botnet dat twee weken geleden de internationale pers haalde, lijkt niet te genieten van alle media-aandacht. Volgens beveiligingsbedrijf Damballa was Kraken een nieuw botnet dat groter was dan dat van de Storm worm en door 80% van de anti-virus software niet werd herkend. Eerste deden veel anti-virusbedrijven de ontdekking af als een storm in een glas water.

Volgens andere beveiligingsexperts ging het om het Bobax botnet, dat door Damballa anders werd genoemd. Het bedrijf reageerde dat er wel overeenkomst tussen Bobax en Kraken zijn, maar het wel twee verschillende botnets betreft.

Inmiddels blijkt de Kraken botnetbeheerder een update naar alle zombies te hebben gestuurd via TCP poort 447. Die zorgt ervoor dat de command & control van de bots moeilijker te detecteren is. Ook gebruiken de zombies niet meer UDP poort 447 met een pakket van vaste grootte, maar willekeurige UDP pakketten en poorten. Alle communicatie is daarnaast versleuteld en loopt via HTTP over poort 80 en 443. Opmerkelijk is dat de communicatie over poort 443 wel versleuteld is, maar niet via SSL.