Beveiligingsbedrijf McAfee heeft tijdens de Virus Bulletin conferentie in Praag een award ontvangen voor het onderzoek naar een botnet dat in samenwerking met de Nederlandse politie werd uitgeschakeld. Het botnet, dat Beebone, VObfus of AAEH werd genoemd, was een polymorfisch botnet.
De malware die ervoor zorgde dat computers onderdeel van het botnet werden was sinds 2009 actief en verspreidde zich via besmette USB-sticks en social engineering. Begin april van dit jaar werd het botnet door het Team High Tech Crime (THTC) van de Nederlandse politie, de FBI, Europol en beveiligingsbedrijven Intel Security, Kaspersky Lab en Shadowserver uit de lucht gehaald.
Om het botnet uit te schakelen werden alle domeinen geregistreerd en in beslag genomen die de malware gebruikte om met besmette computers te communiceren. Vervolgens lieten de opsporingsdiensten deze domeinen naar de servers van internetproviders en Computer Emergency Response Teams (CERTs) van over de hele wereld wijzen, een werkwijze die ook wel "sinkholen" wordt genoemd. Uit onderzoek bleek dat de malware 12.000 computers had besmet.
Volgens het McAfee Labs Team, onderdeel van Intel Security, was de samenwerking tussen de opsporingsdiensten en beveiligingsbedrijven essentieel om het botnet uit de lucht te halen. Het beveiligingsbedrijf schreef een technisch rapport (pdf) over de malware en de werking van het botnet. Hiervoor ontving McAfee afgelopen week tijdens de Virus Bulletin conferentie de Peter Szor Award. Een jaarlijks terugkerende prijs voor het beste beveiligingsonderzoek vernoemd naar de in 2013 overleden anti-viruspionier.
Szor begon twintig jaar geleden met het analyseren van malware en schreef in 2005 het boek 'The Art of Computer Virus Research and Defense'. Hij werkte voor Symantec en F-Secure, voordat hij in 2011 bij McAfee aan de slag ging. In 2013 overleed hij onverwachts. "Dit soort onderzoek maakt iedereen veiliger, wat ook gold voor het onderzoek dat wijlen Peter Szor uitvoerde", aldus Martijn Grooten van Virus Bulletin.
Deze posting is gelocked. Reageren is niet meer mogelijk.