Honderden Windows-gebruikers in Hong Kong kunnen een dezer dagen een e-mail of telefoontje krijgen dat hun computer met de Citadel-malware is besmet en dat ze de pc moeten schoonmaken. De actie van het Hong Kong Computer Emergency Response Team (CERT) is onderdeel van de tweede fase van Operatie b54, waarmee Microsoft begin juni zo'n 1400 Citadel-botnets uitschakelde.
De softwaregigant kreeg een gerechtelijk bevel waardoor het allerlei domeinnamen in beslag kon nemen die de botnets gebruikten om met besmette computers te communiceren. Een Citadel-botnet bestaat uit één of meerdere Command & Control-servers, die de domeinnamen gebruiken om alle besmette computers in het botnet aan te sturen.
IP-adressen
De domeinen die Microsoft in beslag naam liet het niet meer naar deze Command & Control (C&C)-servers wijzen, maar naar de eigen server. Daardoor kon Microsoft zien welke IP-adressen met Citadel besmet zijn. De C&C-servers mogen dan geen verbinding meer met de besmette computers hebben, de machines zelf zijn nog steeds besmet met de Citadel-malware.
Microsoft gaat daarom alle verzamelde IP-adressen doorspelen aan internetproviders en CERTs, zodat die internetgebruikers kunnen waarschuwen. Het Hong Kong CERT heeft de eerste 460 IP-adressen van Microsoft ontvangen en zal eindgebruikers zowel zelf waarschuwen als via hun internetprovider inlichten.
De getroffen Windows-gebruikers krijgen vervolgens stap-voor-stap advies hoe ze de infectie van hun computer kunnen verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.