image

Botnet van 2 miljoen computers ontdekt

woensdag 22 april 2009, 16:05 door Redactie, 11 reacties

Malwarebestrijder Finjan heeft een botnet van bijna 2 miljoen computers ontdekt, waarvan het zelf zegt dat het één van de grootste botnets is die door een enkele groep van cybercriminelen wordt beheerd. Via een eenvoudige interface beheren de zes criminelen het botnet, waarvan de Command & Control server in de Oekraïne is ondergebracht. Doordat de server niet goed beveiligd was, konden de beveiligingsonderzoekers het botnet verder onderzoeken.

Zo ontdekten ze dat het via de interface kinderspel is om het botnet met een nieuw Trojaans paard te updaten. De malware werd volgens VirusTotal door slechts vier van 39 virusscanners herkend. Bijna de helft van de besmette machines bevindt zich in de Verenigde Staten. Groot-Brittannië, Canada, Duitsland en Frankrijk zijn elk goed voor zo'n vijf procent. Het zijn trouwens niet alleen thuisgebruikers die door de malware getroffen zijn, ook overheidsinstanties en bedrijven zijn volgens Finjan besmet geraakt. De malware infecteert computers met Windows XP, waarvan 78% Internet Explorer gebruikt, 15% Firefox, 3% Opera en 1% Safari.

Reacties (11)
22-04-2009, 18:00 door [Account Verwijderd]
[Verwijderd]
22-04-2009, 18:52 door Anoniem
konden ze niet meteen het een self-destruct command geven?
22-04-2009, 19:37 door Anoniem
Laat ik nou AVG 8.5 hebben :)
22-04-2009, 19:50 door Anoniem
Finjan gaat blijkbaar uit van een getal dat ze op een scherm zien, dat lijkt me niet zo erg betrouwbaar.

Aantallen bots is niet goed te meten zonder speciale checks. IP nummers zijn lang niet altijd vast. Bots zijn vaak niet 24 uur per dag up en bovendien zullen de meeste al lang weer verwijderd zijn.

Ook geldt vaak dat 1 bot != 1 computer. Er draaien vaak meerdere malware versies tegelijkertijd (gewoon door dom programmeerwerk) op 1 computer.
22-04-2009, 19:52 door Anoniem
"Doordat de server niet goed beveiligd was, konden de beveiligingsonderzoekers het botnet verder onderzoeken "

Noemen ze dat tegenwoordig al onderzoeken?
22-04-2009, 21:45 door Anoniem
Door Anoniem: "Doordat de server niet goed beveiligd was, konden de beveiligingsonderzoekers het botnet verder onderzoeken "

Noemen ze dat tegenwoordig al onderzoeken?

Finjan wel. Net zoals Symantec van alles en nog wat ontdekt (discovered) heeft, nadat anderen hun voor zijn gegaan. Waar kun je nog mee weg komen?
22-04-2009, 22:38 door Anoniem
Eset zegt het nog netjes.

http://www.eset.com/threat-center/blog/?p=995
22-04-2009, 23:07 door Regenpak
Door Anoniem: Noemen ze dat tegenwoordig al onderzoeken?
Nee, doorgaans heet dat computervredebreuk, iets waar (ik meen) de BBC een poosje geleden al mee te maken had toen ze bij een botnet in de C&C server zaten te hacken. Grappig dat dat kennelijk "illegaler" is dan het botnet zelf.
23-04-2009, 01:27 door ctrlaltdelete
"De malware werd volgens VirusTotal door slechts vier van 39 virusscanners herkend"

Dat is een VirusTotal resultaat van 29 maart van het bestand dat door een geïnfecteerd systeem gedownload werd..
Zegt verder helemaal niets over de detectie door anti-malware programma's van de bot zelf.
23-04-2009, 11:16 door Anoniem
Door Anoniem: Finjan gaat blijkbaar uit van een getal dat ze op een scherm zien, dat lijkt me niet zo erg betrouwbaar.

Aantallen bots is niet goed te meten zonder speciale checks. IP nummers zijn lang niet altijd vast. Bots zijn vaak niet 24 uur per dag up en bovendien zullen de meeste al lang weer verwijderd zijn.

Ook geldt vaak dat 1 bot != 1 computer. Er draaien vaak meerdere malware versies tegelijkertijd (gewoon door dom programmeerwerk) op 1 computer.


in de botnets krijgt iedere pc vaak een uniek eigen nummer, daardoor kan je meerdere ip-adressen uit het zelfde netwerk onderscheiden (bv bij NAT), wordt vaak gekoppeld aan de pc en dus is bovenstaande redelijke onzin. Meten van de grootte van botnet gaat op basis van wat op dat moment aanmeld en heeft niets met dynamische adressen te maken. IP metingen doet niemand.
23-04-2009, 11:25 door Anoniem
Hexzone, RansomWare and, Finjan
http://blog.fireeye.com/research/2009/04/hexzone-ransomware-and-finjan.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.