Microsoft heeft een operatie uitgevoerd tegen twee malware-families die bij elkaar zeker 7,5 miljoen computers infecteerden. Het gaat om de Jenxcus en Bladabindi-malware, die voornamelijk via social engineering werden verspreid. Zo gebruikte de malware e-mails, links op sociale media en torrents.
Ook zat de malware gebundeld met andere software of deed het zich voor als bijvoorbeeld een valse update voor Adobe Flash Player. Eenmaal actief opende de malware een backdoor op de computer waardoor aanvallers volledige controle over het systeem kregen. Daarnaast infecteerde Bladabindi ook USB-sticks om nieuwe slachtoffers te maken.
In tegenstelling tot andere botnets die Microsoft recent aanpakte bestonden Jenxcus en Bladabindi uit allerlei losse botnets, die voornamelijk van de domeinen van het bedrijf No-IP.com gebruik maakten. Dit is een Dynamic Domain Name Service (DNS)-aanbieder. 93% van de infecties door beide malware-families maakten van No-IP.com gebruik.
Microsoft stapte naar de rechter en maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. De rechter accepteerde het verzoek van Microsoft en maakte de softwaregigant de DNS-autoriteit van de 23 gratis No-IP-domeinen. Daardoor kon Microsoft al het verkeer dat naar deze domeinen ging naar de eigen servers leiden en zo de malware en het aantal infecties in kaart brengen.
Verder heeft Microsoft ook de twee auteurs van de malware naar eigen zeggen geïdentificeerd. Het gaat om twee mannen uit Koeweit en Algerije, tegen wie Microsoft een civiele rechtszaak heeft aangespannen. Zowel de twee auteurs als het bedrijf No-IP.com krijgen de kans om zich te verdedigen, maar moeten zich dan wel voor een Amerikaanse rechtbank verantwoorden.
Het is inmiddels de derde grootschalige operatie sinds november die Microsoft tegen botnets uitvoert. Microsoft bracht begin dit jaar een update uit voor de in Windows ingebouwde Malicious Software Removal Tool (MSRT) die in staat is Bladabindi om te verwijderen. In februari volgende een update voor Jenxcus.
Deze posting is gelocked. Reageren is niet meer mogelijk.