Microsoft en Symantec hebben samen een botnet offline gehaald dat wereldwijd miljoenen computers wist te infecteren. Het gaat om het Bamital-botnet dat al sinds 2009 actief was en volgens Microsoft meer dan 8 miljoen computers wist te infecteren. Symantec laat weten dat tijdens zes weken in 2011 er meer dan 1,8 miljoen unieke IP-adressen met één botnet-server communiceerden.

De malware was specifiek ontwikkeld om zoekresultaten van zoekmachines te kapen. Zodra slachtoffers op een zoekresultaat klikten, werden ze naar een website die de malwaremakers bepaalden doorgestuurd. Ook pleegde Bamital op verschillende manieren clickfraude. Zo stuurde het gebruikers naar advertenties en content door die ze niet van plan waren te bezoeken.

Clickfraude
Ook was de malware ontwikkeld om zonder interactie van de gebruiker op advertenties te klikken, met de bedoeling om door advertentienetwerken betaald te worden. Dagelijks werden drie miljoen 'clicks' gekaapt en zou de botnet-server elke dag meer dan een miljoen requests verwerken. Bamital stuurde gebruikers ook door naar websites die zogenaamd legitieme software aanboden, terwijl het in werkelijkheid malware as.

"Dit resulteerde in een slechte gebruikerservaring bij het gebruik van zoekmachines en verhoogde het risico op malware-infecties", aldus Symantec. De malware, waarvan zes varianten zijn ontdekt, verspreidde zich voornamelijk via drive-by downloads en P2P-netwerken.

De meeste infecties van Bamital bevinden zich in de VS, Indonesië, Mexico, Spanje en Thailand.

Nederland
De botnetbeheerders gebruikten onder andere Nederlandse IP-adressen om met de Command & Control-server (C&C) verbinding te maken. Aangezien de verbindingen het beheerdersgedeelte van de C&C-server via Virtual Private Networks en anonimiseringsdiensten liep, weet Symantec niet wie erachter het botnet zit, en of er mogelijk meerdere botnetbeheerders zijn.

Het anti-virusbedrijf laat in een whitepaper weten dat Bamital niet het grootste clickfraude-botnet is dat bestaat. Toch zou de omvang van 1,8 miljoen unieke besmette IP-adressen binnen één maand de omvang van clickfraude wel in perspectief plaatsen. "Er zijn miljoenen computers die legitieme zoekresultaten kapen, alsmede niet-menselijk netwerkverkeer genereren."

Waarschuwing
Inmiddels zijn alle servers van het botnet offline gehaald, maar is de malware nog steeds op de computers actief. Daarom waarschuwen Microsoft en Symantec besmette internetgebruikers proactief via een 'officiële webpagina', waarin advies staat hoe de infectie is te verwijderen. Deze pagina krijgen gebruikers te zien zodra ze via een zoekmachine zoeken.

Operation b58, zoals Microsoft de actie tegen het botnet noemt, is inmiddels het zesde botnet dat de softwaregigant in een periode van drie jaar offline haalt.