Onderzoekers hebben een botnet ontdekt dat uit zeker 35.000 geïnfecteerde computers bestaat en voor zover bekend zich alleen via besmette usb-sticks verspreidde. De besmette computers werden gebruikt voor het delven van de cryptovaluta Monero, zo meldt antivirusbedrijf ESET.

Opmerkelijk aan het "VictoryGate" botnet, zoals de onderzoekers het noemen, is dat de enige verspreidingsmethode besmette usb-sticks lijken te zijn. De malware wacht op besmette computers totdat er een usb-stick wordt aangesloten. Vervolgens worden alle bestanden op de usb-stick naar een verborgen directory verplaatst en vervangen door uitvoerbare bestanden die dezelfde namen als de originele bestanden hebben.

Zodra de besmette usb-stick op een schone computer wordt aangesloten en de gebruiker opent één van de uitvoerbare bestanden, dan wordt zowel het originele bestand in de verborgen directory geladen als de malware. Die downloadt vervolgens aanvullende malware, waaronder scripts die de computer Monero laten delven. De cryptominer gebruikt de volledige rekenkracht van de computer waardoor die zeer langzaam wordt. Tevens wacht de malware totdat er nieuwe usb-sticks worden aangesloten, zodat ook andere machines kunnen worden besmet.

Onderzoekers van ESET wisten verschillende ongebruikte domeinen te registreren waar besmette computers mee verbinding maken. Deze domeinen stonden in de code van de malware vermeld, maar waren niet door de malwareschrijver geregistreerd. Zodoende zag het antivirusbedrijf dat het botnet uit zeker 35.000 computers bestaat, die zich voornamelijk in Peru (90 procent) bevinden.

Tevens bleek dat de aansturing van het botnet via subdomeinen bij de dynamische dns-provider No-IP plaatsvond. Deze domeinen zijn door de provider uit de lucht gehaald, waardoor de botnetbeheerder het botnet geen nieuwe instructies kan geven en nieuw geïnfecteerde computers geen aanvullende malware zullen downloaden. De al besmette computers blijven echter gewoon Monero delven.