Het Nederlandse SURFnet heeft een belangrijk rol gespeeld bij het uitschakelen van het Kelihos-spambotnet. Microsoft kondigde gisteren het einde van het botnet aan, dat uit zo'n 41.000 besmette Windows computers bestaat. Terwijl Microsoft via een Amerikaanse rechtbank de controle over de domeinnamen van het botnet kreeg, stelde Kaspersky Lab een 'sinkhole' in. In plaats van de kwaadaardige servers, maken de besmette computers daardoor verbinding met een adres dat door de virusbestrijder is opgegeven.

Protocol
Kelihos beschikte over een peer-to-peer infrastructuur, waarbij de bots ook zonder de domeinnamen updates en opdrachten konden uitwisselen. De communicatie tussen de bots onderling verliep via een special protocol, dat Kaspersky Lab wist te reverse engineeren. Zodoende kon de virusbestrijder niet alleen zien wat er binnen het botnet plaatsvond, maar kon het ook een nieuw 'peer adres' opgeven, waar de bots verbinding mee moesten maken. Elke minuut zouden zo'n 3.000 computers deze ingestelde sinkhole benaderen.

Het draaien van een sinkhole dat in staat is om zo'n groot aantal verbindingen aan te kunnen, vereist de nodige middelen, aldus analist Tillmann Werner. Hij bedankt dan ook SURFnet voor het bieden van de "perfecte infrastructuur" voor het draaien van deze sinkhole.

Schoonmaak
Kaspersky telde in totaal 49.000 unieke IP-adressen die verbinding met de sinkhole maakten. Tillmann merkt op dat het sinkholen niet eeuwig door kan gaan, en dat de enige oplossing het verwijderen van de malware is. Microsoft heeft Kelihos inmiddels aan de ingebouwde Windows Malicious Software Removal Tool toegevoegd.

De analist laat weten dat Kaspersky Lab ook weet hoe het update-proces van het botnet werkt. "We zouden onze eigen update kunnen verspreiden die de infectie verwijdert en zichzelf uitschakelt. Maar dit zou in de meeste landen illegaal zijn en blijft dus alleen theorie."