image

Nederlandse IP-adressen in Pools Citadel-botnet

maandag 15 april 2013, 16:43 door Redactie, 1 reacties

Zorgde in Nederland het Pobelka-botnet voor de nodige ophef, in Polen trok een groep experts de stekker uit het Plitfi-botnet, dat ook Nederlandse slachtoffers maakte. Net als Pobelka was Plitfi gebaseerd op de Citadel-malware en had een groot aantal machines besmet. Het botnet werd via drie Poolse domeinnamen aangestuurd: infocyber.pl, secblog.pl en online-security.pl.

Eind februari kwamen deze drie domeinnamen in handen van het Poolse Computer Emergency Response Team (CERT). Doordat het Poolse CERT de eigen servers had laten instellen, konden ze achterhalen uit hoeveel besmette Windows-computers het botnet bestond. In totaal maakten 164.323 unieke IP-adressen uit 75 landen verbinding met de servers van het Poolse CERT.

In plaats van alleen naar IP-adressen te kijken werden ook de unieke 'bot identifiers' geteld, waaruit blijkt dat het om 11.730 verschillende machines gaat. Daarvan komen er meer dan 77% uit Polen.

Details
Het totaal aantal Nederlandse IP-adressen bedraagt 486. Wordt er naar de unieke identificatienummers van de bots gekeken, dan blijkt dat er 268 computers een Nederlandse taalinstelling hadden.

Zo'n 4400 computers draaiden op Windows 7 64-bit, net iets meer dan Windows XP 32-bit, dat met 16 computers verschil niet veel achterloopt. Op de derde plek staat met ruim 2400 computers Windows 7 32-bit, terwijl 1575 besmette machines op Vista 32-bit draaiden.

Afschrift
Het botnet toonde op de besmette computers meldingen die van de bank van het slachtoffer afkomstig leken. Het ging dan om een boodschap die liet weten dat er per ongeluk een groot bedrag naar de rekening van het slachtoffer was overgemaakt.

Het slachtoffer moest dit bedrag terugstorten naar een rekening die onder beheer van de criminelen stond. Om de gebruiker te laten geloven dat de onterechte transactie had plaatsgevonden was het getoonde bedrag op de bankrekening aangepast. Hoeveel geld de bende achter het botnet heeft buitgemaakt is onbekend.

Reacties (1)
16-04-2013, 09:20 door spatieman
goh, wat zij bill ,W7 64 bit is niet te infecteren....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.