image

Herrezen Kelihos-botnet snift netwerkverkeer

maandag 5 maart 2012, 15:16 door Redactie, 0 reacties

Het door Microsoft uitgeschakelde Kelihos-botnet is weer opgestaan en begonnen met het stelen van vertrouwelijke gegevens. Eind september vorig jaar haalde Microsoft het botnet uit de lucht. Eind januari werd echter gesteld dat Kelihos weer actief was, maar volgens Microsoft is het botnet nog steeds offline en gaat het om geheel nieuwe malware.

Netwerkverkeer
Toch stelt de Zwitserse beveiligingsonderzoeker Roman Huessy in deze analyse dat het Kelihos-botnet weer terug is. De malware gebruikt nu .eu domeinnamen en installeert op besmette machines de WinPcap library, waarmee het netwerkverkeer wordt gesnift. De malware zoekt hierbij naar vertrouwelijke data, zoals inloggegevens. Daarnaast worden besmette computers gebruikt om spam te versturen.

Om de activiteiten te verbergen, gebruikt Kelihos een "Double-Flux". Hierbij worden de nameservers van de domeinnaam die de bots gebruiken, op een FastFlux botnet gehost. "Vanwege het feit dat deze domeinnamen double-flux gebruiken, is het zeer lastig om ze uit te schakelen. Er is geen webserver of DNS-server om uit de lucht te halen", merkt Huessy op. Er worden verschillende domeinnamen op het FastFlux-botnet gehost.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.