Nieuws
image

FBI elimineert DNS-botnet met hulp van KLPD

donderdag 10 november 2011, 09:35 door Redactie, 6 reacties

De FBI heeft een omvangrijk botnet met behulp van het KLPD opgerold en zeven verantwoordelijke bendeleden gearresteerd. De bende infecteerde meer dan vier miljoen computers met de DNS Changer Trojan in meer dan honderd landen. Tenminste 500.000 computers in de Verenigde Staten raakten besmet, waaronder machines van de Amerikaanse overheid, NASA, onderwijsinstellingen, bedrijven en thuisgebruikers. De malware werd gebruikt voor het plegen van clickfraude, waarmee meer dan 10 miljoen euro werd verdiend. Ook stuurde de DNS Changer Trojan gebruikers door naar andere websites en advertenties en kaapte zoekopdrachten. Voor elke doorgestuurde gebruiker kreeg de bende betaald. De malware voorkwam ook de installatie van beveiligingssoftware en Windows updates, waardoor systemen kwetsbaar voor andere aanvallen en malware werden.

Advertenties
De bende deed zich tussen 2007 en oktober 2011 voor als verschillende bedrijven waar adverteerders en advertentienetwerken hun advertenties kwijt konden. Om meer clicks te genereren stuurde de bende de besmette computers naar deze websites en advertenties door. Daarbij lieten ze de adverteerders geloven dat het internetverkeer van legitieme clicks en getoonde advertenties afkomstig was, terwijl dit in werkelijkheid niet het geval was.

Om dit mogelijk te maken wijzigde de DNS Changer malware de DNS-instellingen van de besmette computer. De machines raakten besmet door eindgebruikers die verleid werden om zelf hun computer te infecteren door het openen van video-codecs en plugins die nodig zouden zijn om filmpjes te bekijken. Eenmaal geïnstalleerd werden de "clicks" van gebruikers gekaapt en getoonde advertenties vervangen door die van de bende. In het geval van een click op een zoekresultaat, werd de gebruiker naar een andere website doorgestuurd.

DNS-servers
Als onderdeel van operatie 'Ghost Click' heeft de FBI verschillende DNS-servers van de bende uitgeschakeld en door legitieme servers vervangen. Deze servers worden door het Internet Systems Consortium ("ISC") beheerd. De FBI zegt dat het de malware niet van besmette computers zal verwijderen. Verschillende partijen hielpen mee met het oprollen van het botnet, waaronder het KLPD.

De bendeleden kunnen voor tientallen jaren achter de tralies verdwijnen als ze schuldig worden bevonden. De DNS Changer malware verscheen zowel voor Windows als Mac computers. Inmiddels heeft FBI ook een "check" online gezet waar internetgebruikers kunnen controleren of ze met de malware besmet zijn.

Reacties (6)
10-11-2011, 09:45 door Dev_Null
Het zoveelste stukje malware in het "WIndows Operating System". Het begint steeds meer te lijken op een (indirect) globaal werkgelegenheidsproject dan een ict-besturings-systeem :-P
10-11-2011, 10:29 door Bitwiper
Door Dev_Null: Het zoveelste stukje malware in het "WIndows Operating System". Het begint steeds meer te lijken op een (indirect) globaal werkgelegenheidsproject dan een ict-besturings-systeem :-P
Droom rustig verder.

In http://isc.sans.edu/diary/Operation+Ghost+Click+FBI+bags+crime+ring+responsible+for+14+million+in+losses/11986 lees ik onder meer:
Door Russ McRee, Last Updated: 2011-11-09 22:37:14 UTC: The FBI offers details on determining if you've been affected by DNSChanger in this PDF (http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf).
[...]
ISC handlers have published many diaries over the years about various DNSChanger malware including a recent Mac version:
- New Mac Trojan: BASH/QHost.WB (https://isc.sans.edu/diary.html?storyid=11329)
- (Minor) evolution in Mac DNS changer malware (https://isc.sans.edu/diary.html?storyid=4361)
- DNS changer Trojan for Mac (!) in the wild (https://isc.sans.edu/diary.html?storyid=3595)
In eerdergenoemde PDF van de FBI is ook een sectie te vinden met "If you are using an Apple computer, ..." gevolgd door plaatjes hoe je vaststelt of dit type malware zich op je iOS systeem genesteld heeft.

Overigens de IP-reeksen die je niet achter "DNS servers" in de output van ipconfig /all wilt tegenkomen (bron: eerdergenoemde FBI PDF):
85.255.112.0 .. 85.255.127.255
67.210.0.0 .. 67.210.15.255
93.188.160.0 .. 93.188.167.255
77.67.83.0 .. 77.67.83.255
213.109.64.0 .. 213.109.79.255
64.28.176.0 .. 64.28.191.255
10-11-2011, 13:22 door SirDice
Door Dev_Null: Het zoveelste stukje malware in het "WIndows Operating System".
De DNS Changer malware verscheen zowel voor Windows als Mac computers.
10-11-2011, 14:05 door [Account Verwijderd]
[Verwijderd]
10-11-2011, 14:26 door Anoniem
"Inmiddels heeft FBI ook een "check" online gezet waar internetgebruikers kunnen controleren of ze met de malware besmet zijn."

Lekkere check, moet je daar je eigen IP invullen, of het IP van je DNS server ? Veel gebruikers weten niet eens wat een IP is, of hoe ze dit moeten opvragen. Iets meer informatie was wel handig geweest.
11-11-2011, 11:46 door Dev_Null
Het zoveelste stukje malware in het "WIndows Operating System". Het begint steeds meer te lijken op een (indirect) globaal werkgelegenheidsproject dan een ict-besturings-systeem :-P

Let me rephrase this question your honor (SirDice en andere ja-knikkers):
Het zoveelste stukje malware in het "Windows en/of MacOperating System / Applicaties ".
Dit gehele "operatings system / applicatie" circus begint steeds meer te lijken op een (indirect) globaal werkgelegenheids project dan op een goed lopend en stabiel een ict-besturings-systeem / software factory :-P[/quote]
De ene partij produceert steeds maar weer crap, die haar klanten nodig hebben om hun werkzaamheden uit te voeren
Waar de andere (3e)partijen weer vet veel geld aan verdienen en tijd aan verspillen - om de originele shit van partij 1 - te verhelpen. What a waste of time, money and resources.... Zo houden ze elkaar alleen maar bezig, bezig en oh ja bezig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure