image

Botnet geeft Microsoft het nakijken

dinsdag 31 januari 2012, 13:36 door Redactie, 5 reacties

Het Kelihos-botnet dat door Microsoft en Kaspersky Lab vorig jaar werd uitgeschakeld en waarvan de beheerder onlangs werd aangeklaagd, is uit de as herrezen. Microsoft kreeg van de rechter de controle over de domeinnamen waarmee het botnet de besmette computers aanstuurde. "Dit is niet erg effectief als de botnetbeheerders nog steeds vrij rondlopen", zegt Maria Garnaeva van Kaspersky Lab.

Na de uitschakeling van Kelihos, ontdekte Kaspersky Lab nieuwe exemplaren die veel op de eerste versie leken. Na onderzoek bleek het een variant te betreffen, die onder andere nieuwe encryptiesleutels gebruikte. Het botnet krijgt dan ook nog steeds opdrachten van de spammers om spam te versturen.

Neutraliseren
Garnaeva stelt dat het onmogelijk is om een botnet te neutraliseren door alleen de command & control (C&C) servers over te nemen of de controllerlijst zonder aanvullende acties te vervangen. De botnetbeheerder zou via een lijst met actieve router IP-adressen nog steeds een update naar de bots kunnen sturen.

De analiste stelt dat het botnet is uit te schakelen door de besmette machines een update te sturen die de malware verwijdert. Dit heeft zowel juridische als technische haken en ogen, omdat er zonder toestemming van de eigenaar code op zijn computer wordt uitgevoerd. Code die de computer in theorie onwerkbaar kan maken. "We denken dat de meest effectieve methode om een botnet uit te schakelen het arresteren van de mensen is die erachter zitten", zegt Garnaeva. Ze hoopt dat Microsoft het onderzoek naar de Kelihos-beheerders tot het einde doorzet.

Reacties (5)
31-01-2012, 14:21 door Anoniem
De botnetbeheerder zou via een lijst met actieve router IP-adressen nog steeds een update naar de bots kunnen sturen.
Wat houdt dit precies in?
31-01-2012, 21:46 door Anoniem
dat de bots geprogrammeert zijn om na een X aantal tijd -of- x aantal foutieve connectie pogingen naar secondaire nummers te verbinden, handig voorals de thuis telefoon niet wordt opgenomen.
01-02-2012, 05:05 door Anoniem
Dat die botnets nog steeds niet dood zijn zeker en men eigenlijk niet goed weet, tot op bepaalde hoogte dan, hoe men die van het net moeten verwijderen.
01-02-2012, 09:17 door Anoniem
Door Anoniem:
De botnetbeheerder zou via een lijst met actieve router IP-adressen nog steeds een update naar de bots kunnen sturen.
Wat houdt dit precies in?


Dit betekent dat de besmette computers niet meer zelf contact opnemen met hun beheerders.
Maar als de beheerders een lijst hebben met daarop de ipadressen waarachter de besmette pc's zitten, ze zelf commando's zouden kunnen sturen naar de besmette pc's en zo het botnet actief kunnen houden (commando zou update met nieuwe c&c gegevens kunnen zijn.
01-02-2012, 10:28 door Anoniem
Arresteren? In Rusland?


Wakker worden..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.