image

Microsoft ontregelt botnets die 7,5 miljoen pc's infecteerden

dinsdag 1 juli 2014, 09:48 door Redactie, 8 reacties

Microsoft heeft een operatie uitgevoerd tegen twee malware-families die bij elkaar zeker 7,5 miljoen computers infecteerden. Het gaat om de Jenxcus en Bladabindi-malware, die voornamelijk via social engineering werden verspreid. Zo gebruikte de malware e-mails, links op sociale media en torrents.

Ook zat de malware gebundeld met andere software of deed het zich voor als bijvoorbeeld een valse update voor Adobe Flash Player. Eenmaal actief opende de malware een backdoor op de computer waardoor aanvallers volledige controle over het systeem kregen. Daarnaast infecteerde Bladabindi ook USB-sticks om nieuwe slachtoffers te maken.

Botnets

In tegenstelling tot andere botnets die Microsoft recent aanpakte bestonden Jenxcus en Bladabindi uit allerlei losse botnets, die voornamelijk van de domeinen van het bedrijf No-IP.com gebruik maakten. Dit is een Dynamic Domain Name Service (DNS)-aanbieder. 93% van de infecties door beide malware-families maakten van No-IP.com gebruik.

Microsoft stapte naar de rechter en maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. De rechter accepteerde het verzoek van Microsoft en maakte de softwaregigant de DNS-autoriteit van de 23 gratis No-IP-domeinen. Daardoor kon Microsoft al het verkeer dat naar deze domeinen ging naar de eigen servers leiden en zo de malware en het aantal infecties in kaart brengen.

Auteurs

Verder heeft Microsoft ook de twee auteurs van de malware naar eigen zeggen geïdentificeerd. Het gaat om twee mannen uit Koeweit en Algerije, tegen wie Microsoft een civiele rechtszaak heeft aangespannen. Zowel de twee auteurs als het bedrijf No-IP.com krijgen de kans om zich te verdedigen, maar moeten zich dan wel voor een Amerikaanse rechtbank verantwoorden.

Het is inmiddels de derde grootschalige operatie sinds november die Microsoft tegen botnets uitvoert. Microsoft bracht begin dit jaar een update uit voor de in Windows ingebouwde Malicious Software Removal Tool (MSRT) die in staat is Bladabindi om te verwijderen. In februari volgende een update voor Jenxcus.

Image

Reacties (8)
01-07-2014, 10:14 door _R0N_
Goed bezig ... :)
01-07-2014, 10:23 door Anoniem
Die no-ip domeinen werden ook door best wel een boel legitieme gebruikers gebruikt... en nu dus niet meer. Vrij ernstige vraag waarom ze hier een tim kuik uitvreten met een ex parte en dus nu niet en eerder niet eens de moeite hebben genomen no-ip te contacteren.

Vraag me af wat ze zouden zeggen als er een vigilantistische partij ze even hotmail.com, live.com, passport.com, en wat dies meer zei ontfutselde, omdat deze grootschalig in de headers van "gerifieerde spam" voorkomen, of een vergelijkbare redenering.

Buiten dat is dit weer een hoop symbolisch "throwing their weight around" maar verder weinig substantieel, iets waar ze in grossieren en ook regelmatig (terecht) voor bekritiseerd worden. Dit om problemen pogen op te lossen die, als je maar ver genoeg teruggaat, uiteindelijk mede mogelijk gemaakt worden door hun eigen ontwerpfouten en chronische nalatigheid tijdig de gaten te dichten. Dat ze dat nu met veel show proberen is des te ergerlijker, want ze hebben het eerst uit de hand laten lopen. Nu dus met extra collateral damage.

Ze mogen de legitieme gebruikers eigenlijk wel compenseren voor dit inhoudsarme machtsvertoon.
01-07-2014, 10:46 door grizzler - Bijgewerkt: 01-07-2014, 10:51
Door _R0N_: Goed bezig ... :)
Integendeel. Net als de vorige keren hebben ze er weer een gigantische teringzooi van gemaakt. Ze hebben zonder het bedrijf achter No-IP zelfs maar te benaderen vier miljoen mensen benadeeld.

http://webwereld.nl/beveiliging/83065-miljoenen-legitieme-domeinen-offline-na-actie-microsoft

Knoeiwerk van de bovenste plank, zoals we van microsoft kunnen verwachten. Hoog tijd dat die arrogante boevenbende eens flink wordt aangepakt.
01-07-2014, 10:47 door Anoniem
en op zijn amerikaans wordt er weer totaal niet gekeken naar collateral damage. Leuk om een botnet neer te halen, maar er zijn nog veel meer legitieme sites kapot nu.
01-07-2014, 11:18 door Anoniem
Inderdaad enorm arrogant van Microsoft. Ze zijn niet eens in staat zelf hun mailing lists op een fatsoenlijke manier te managen.

Dit toont weer aan dat ze als een olifant in de porseleinwinkel bezig zijn.
01-07-2014, 11:48 door Anoniem
En erger nog, niet alles van het botnet gaat plat, en dus over 6 maanden is het bot netwerk gewoon weer terug op volle sterkte. Maar die micisoft dudes kunnen wel zeggen dat ze stoer bezig zijn geweest, maar niet snappen dat dit elke keer weer verkeerd uitpakt.

Laten ze windows nou eens zo goed maken dat deze imuum wordt voor dit soort botnets. Tja... dat is veel lastiger... je eigen software beveiligen....

Nog even, en DNS staat in hetzelfde rijdje als P2P. 1 domein is illegaal bezig, alles van de DNS sever blokkeren...

TheYOSH
01-07-2014, 16:28 door Anoniem
Door grizzler:
Door _R0N_: Goed bezig ... :)
Integendeel. Net als de vorige keren hebben ze er weer een gigantische teringzooi van gemaakt. Ze hebben zonder het bedrijf achter No-IP zelfs maar te benaderen vier miljoen mensen benadeeld.

http://webwereld.nl/beveiliging/83065-miljoenen-legitieme-domeinen-offline-na-actie-microsoft

Knoeiwerk van de bovenste plank, zoals we van microsoft kunnen verwachten. Hoog tijd dat die arrogante boevenbende eens flink wordt aangepakt.

Opvallend: niemand die iets zegt over het feit dat no-ip al jaren lang gewoon heel onverantwoordelijk, slecht werk heeft geleverd. De data op basis waarvan de rechtszaak nu loopt was en is gewoon publiek. Als no-ip ook maar een beetje geinteresseerd was geweest in beveiliging (van hun klanten), was dit niet gebeurd.
01-07-2014, 21:30 door Anoniem
Door Anoniem: Opvallend: niemand die iets zegt over het feit dat no-ip al jaren lang gewoon heel onverantwoordelijk, slecht werk heeft geleverd. De data op basis waarvan de rechtszaak nu loopt was en is gewoon publiek. Als no-ip ook maar een beetje geinteresseerd was geweest in beveiliging (van hun klanten), was dit niet gebeurd.
Nouja, dat kan ik van redmond ook zeggen, maar dat mag dan niet van al die fanbois. Het is ondertussen wel hun software waar al die botnets zo dankbaar gebruik van maken. Ik heb niet even alle data die bij die ex partes zou zitten doorgespit dus wellicht dat er te zien is dat no-ip eerder gefaald heeft. Blijft staan dat redmond niet eens geprobeerd heeft no-ip te contacteren. Ze hebben gewoon voor privepolitie gespeeld, zoals gewoonlijk vooral voor het persbericht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.