image

Microsoft en Symantec halen groot botnet offline

donderdag 7 februari 2013, 09:56 door Redactie, 4 reacties

Microsoft en Symantec hebben samen een botnet offline gehaald dat wereldwijd miljoenen computers wist te infecteren. Het gaat om het Bamital-botnet dat al sinds 2009 actief was en volgens Microsoft meer dan 8 miljoen computers wist te infecteren. Symantec laat weten dat tijdens zes weken in 2011 er meer dan 1,8 miljoen unieke IP-adressen met één botnet-server communiceerden.

De malware was specifiek ontwikkeld om zoekresultaten van zoekmachines te kapen. Zodra slachtoffers op een zoekresultaat klikten, werden ze naar een website die de malwaremakers bepaalden doorgestuurd. Ook pleegde Bamital op verschillende manieren clickfraude. Zo stuurde het gebruikers naar advertenties en content door die ze niet van plan waren te bezoeken.

Clickfraude
Ook was de malware ontwikkeld om zonder interactie van de gebruiker op advertenties te klikken, met de bedoeling om door advertentienetwerken betaald te worden. Dagelijks werden drie miljoen 'clicks' gekaapt en zou de botnet-server elke dag meer dan een miljoen requests verwerken. Bamital stuurde gebruikers ook door naar websites die zogenaamd legitieme software aanboden, terwijl het in werkelijkheid malware as.

"Dit resulteerde in een slechte gebruikerservaring bij het gebruik van zoekmachines en verhoogde het risico op malware-infecties", aldus Symantec. De malware, waarvan zes varianten zijn ontdekt, verspreidde zich voornamelijk via drive-by downloads en P2P-netwerken.

De meeste infecties van Bamital bevinden zich in de VS, Indonesië, Mexico, Spanje en Thailand.

Nederland
De botnetbeheerders gebruikten onder andere Nederlandse IP-adressen om met de Command & Control-server (C&C) verbinding te maken. Aangezien de verbindingen het beheerdersgedeelte van de C&C-server via Virtual Private Networks en anonimiseringsdiensten liep, weet Symantec niet wie erachter het botnet zit, en of er mogelijk meerdere botnetbeheerders zijn.

Het anti-virusbedrijf laat in een whitepaper weten dat Bamital niet het grootste clickfraude-botnet is dat bestaat. Toch zou de omvang van 1,8 miljoen unieke besmette IP-adressen binnen één maand de omvang van clickfraude wel in perspectief plaatsen. "Er zijn miljoenen computers die legitieme zoekresultaten kapen, alsmede niet-menselijk netwerkverkeer genereren."

Waarschuwing
Inmiddels zijn alle servers van het botnet offline gehaald, maar is de malware nog steeds op de computers actief. Daarom waarschuwen Microsoft en Symantec besmette internetgebruikers proactief via een 'officiële webpagina', waarin advies staat hoe de infectie is te verwijderen. Deze pagina krijgen gebruikers te zien zodra ze via een zoekmachine zoeken.

Operation b58, zoals Microsoft de actie tegen het botnet noemt, is inmiddels het zesde botnet dat de softwaregigant in een periode van drie jaar offline haalt.

Reacties (4)
07-02-2013, 12:55 door Anoniem
Wat ik mij afvraag is : Hebben alle windows varianten mogelijkheden om op een 'veilig' systeem zonder toestemming van de eigenaar software uit te voeren?
En mag dat? Mag een Amerikaans bedrijf een Nederlandse server wijzigen zonder vooraf toestemming van de eigenaar.
En zijn de backdoors ook standaard te gebruiken voor Overheden en opsporingsinstanties?
07-02-2013, 13:06 door Anoniem
Goed werk Microsoft, het botnet neergehaald waar nog nooit iemand van gehoord heeft...
Oh wacht het is weer een marketing stunt, ze organiseren weer een DCC conferentie binnenkort :P
07-02-2013, 17:55 door vimes
Die 'officiële webpagina' leidt naar een downloadpagina voor een viruschecker.
Dit is precies dezelfde methode als gebruikt wordt door de nepvirusscanners. Ik durf te wedden dat de makers van die nepscanners inmiddels de 'officiële webpagina' gekopieerd en wat aangepast hebben
07-02-2013, 19:43 door Anoniem
Het is een botnet wat aan de centen komt van Microsoft doordat zij hun reclameinkomsten gemanipuleerd zien.
Dan is de prioriteit allicht hoger voor MS cs.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.