Anti-virusbedrijf Symantec heeft één van de grootste botnets op internet een zware slag toegebracht door 500.000 bots uit het kwaadaardige netwerk te bevrijden. Het gaat om het ZeroAcces-botnet, dat uit zo'n 1,9 miljoen geïnfecteerde computers bestaat.

De computers in het botnet worden onder andere gebruikt voor het plegen van clickfraude en het genereren van de virtuele munt Bitcoin. Bij de clickfraude van ZeroAcces wordt er door de malware op de computer een advertentie gedownload, waar dan een valse click op wordt gegenereerd waardoor het lijkt alsof de click van een legitieme gebruiker afkomstig is. De adverteerder betaalt het advertentienetwerk, dat uiteindelijk de partij betaalt waar de click werd verricht. Volgens Symantec zou het botnet in potentie tientallen miljoenen dollars per jaar via clickfraude kunnen verdienen.

Peer-to-peer

In tegenstelling tot traditionele servers, die via een centrale Command & Control (C&C) server worden aangestuurd, gebruikt ZeroAccess peer-to-peer (P2P) communicatie. Zodra een computer met de malware besmet raakt, zoekt die eerst naar andere besmette computers in het botnet. Via deze besmette computers worden vervolgens bestanden en opdrachten uitgewisseld.

Door het gebruik van P2P is het veel lastiger om het botnet aan te pakken dan bij een traditionele C&C-server het geval is, aangezien er geen centrale aansturing is. Onderzoekers van Symantec ontdekten in maart van dit jaar een kwetsbaarheid waardoor het mogelijk was om besmette computers uit het botnet te bevrijden.

In mei verscheen echter een rapport waarin beveiligingsonderzoekers de kwetsbaarheid openbaarden. Dit rapport kan er mogelijk voor hebben gezorgd dat de botnetbeheerders achter het probleem kwamen, want na de publicatie werd er begonnen met het updaten van de besmette computers in het botnet met een nieuwe versie van de bot, waarin het probleem was opgelost.

Actie

Om het momentum niet te verliezen besloot Symantec op 16 juli tot actie over te gaan en wist uiteindelijk meer dan 500.000 computers van het botnet los te koppelen. Volgens het anti-virusbedrijf laat dit zien dat het stoppen van P2P-botnets lastig, maar niet onmogelijk is. De gegevens van het ZeroAccess-botnet zijn inmiddels met internetproviders en Computer Emergency Readiness Teams (CERTs) gedeeld, zodat die kunnen helpen bij het ontsmetten van de besmette computers.