Een botnet dat anderhalf jaar geleden door een groep beveiligingsbedrijven werd uitgeschakeld blijft dankzij een groep hardnekkige XP-zombies nog altijd bestaan. Het gaat om het tweede Kelihos-botnet, dat uit 109.000 Windowscomputers bestond toen de beveiligingsbedrijven ingrepen.

Het botnet werd gebruikt voor het versturen van spam en het uitvoeren van DDoS-aanvallen. Kelihos is een P2P-botnet, wat inhoudt dat alle computers binnen het botnet als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die van één of meerdere Command & Controle-servers gebruikmaken.

Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit "sinkhole-netwerk" erin om zijn ‘populariteit’ binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van de experts kwamen. Hierdoor konden de botnetbeheerders de besmette computers niet langer bereiken.

Windows XP

Inmiddels zijn er 19 maanden sinds de operatie tegen het tweede Kelihos-botnet verstreken en is het aantal besmette computers sterk gedaald. De daling wordt veroorzaakt doordat gebruikers de malware verwijderen of hun computer opnieuw installeren. Toch zijn er nog altijd zo'n 1000 computers die nog steeds geïnfecteerd zijn.

Opvallend is dat 86,2% van al deze infecties computers zijn die op Windows XP draaien. Een ander opvallend gegeven is dat het in 44% van de resterende Kelihos-zombies om Poolse computers gaat, zo blijkt uit cijfers van Kaspersky Lab.