Het Kelihos-botnet dat door Microsoft en Kaspersky Lab vorig jaar werd uitgeschakeld en waarvan de beheerder onlangs werd aangeklaagd, is uit de as herrezen. Microsoft kreeg van de rechter de controle over de domeinnamen waarmee het botnet de besmette computers aanstuurde. "Dit is niet erg effectief als de botnetbeheerders nog steeds vrij rondlopen", zegt Maria Garnaeva van Kaspersky Lab.
Na de uitschakeling van Kelihos, ontdekte Kaspersky Lab nieuwe exemplaren die veel op de eerste versie leken. Na onderzoek bleek het een variant te betreffen, die onder andere nieuwe encryptiesleutels gebruikte. Het botnet krijgt dan ook nog steeds opdrachten van de spammers om spam te versturen.
Neutraliseren
Garnaeva stelt dat het onmogelijk is om een botnet te neutraliseren door alleen de command & control (C&C) servers over te nemen of de controllerlijst zonder aanvullende acties te vervangen. De botnetbeheerder zou via een lijst met actieve router IP-adressen nog steeds een update naar de bots kunnen sturen.
De analiste stelt dat het botnet is uit te schakelen door de besmette machines een update te sturen die de malware verwijdert. Dit heeft zowel juridische als technische haken en ogen, omdat er zonder toestemming van de eigenaar code op zijn computer wordt uitgevoerd. Code die de computer in theorie onwerkbaar kan maken. "We denken dat de meest effectieve methode om een botnet uit te schakelen het arresteren van de mensen is die erachter zitten", zegt Garnaeva. Ze hoopt dat Microsoft het onderzoek naar de Kelihos-beheerders tot het einde doorzet.
Deze posting is gelocked. Reageren is niet meer mogelijk.