De honderden Andromeda-botnets die Europol, de FBI, internationale opsporingsdiensten en bedrijven vorige week uit de lucht haalden schakelden op besmette computers Windows Update uit, wat inhoudt dat een groot aantal computers geen beveiligingsupdates ontvangt, zo laat Microsoft weten.
Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Eenmaal actief kan Andromeda allerlei andere malware installeren, zoals ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware. Ook probeert de malware Windows Update en de Firewall uit te schakelen. Deze functionaliteit kan niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd.
En dat is een probleem gezien het aantal besmette machines. Bij de operatie tegen Andromeda wisten opsporingsdiensten de domeinen in beslag te nemen waarmee Andromeda besmette computers aanstuurt. Vervolgens werden deze domeinen zo ingesteld dat ze niet meer naar de malware-servers wezen, maar naar servers van Microsoft. In een periode van 48 uur maakten twee miljoen unieke ip-adressen verbinding met de ingestelde Microsoft-servers.
Door het aanpassen van de malware-domeinen is de infectie nog niet van de getroffen systemen verwijderd en het is de vraag hoe lang dit gaat duren. Vorig jaar haalden opsporingsdiensten het Avalanche-botnet offline. Een jaar later blijkt nog 55 procent van de destijds besmette machines nog steeds geïnfecteerd te zijn. De meeste met Andromeda besmette Windows-computers bevinden zich in India, Indonesië en Turkije. Zolang de infectie aanwezig is ontvangen deze machines geen updates en lopen zo risico door andere malware besmet te raken. Anti-virusbedrijf ESET was ook bij de operatie tegen de malware betrokken en heeft een analyse online gezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.