Een groot botnet dat vorig jaar door de Spaanse autoriteiten werd ontmanteld, is nog altijd springlevend en maakt via USB-sticks, MSN en P2P-netwerken in hoog tempo nieuwe slachtoffers. Het Mariposa-botnet, Spaans voor vlinder, bestaat eigenlijk uit allemaal kleine botnets. Net als de Zeus-bot worden de besmette machines door verschillende criminele groepen aangestuurd. Het vorig jaar maart uitgeschakelde botnet bestond uit 13 miljoen machines, maar was niet het enige Mariposa-botnet.

Mariposa, ook bekend als Palevo en Rimecud, was volgens beveiligingsbedrijf FireEye de meest actieve malware van 2010. "Sindsdien heeft de dreiging de aandacht van de media verloren, maar wat veel mensen niet weten is dat Palevo nog steeds een grote speler in het globale dreigingslandschap is", zegt de Zwitserse beveiligingsonderzoeker Roman Huessy.

De malware is zeer succesvol omdat het zich via P2P-netwerken, MSN en USB-sticks verspreidt. Daarnaast zouden ook Windows bestandsdeling voor "maximaal effect" worden gebruikt. Tijdens de afgelopen maanden heeft Huessy naar eigen zeggen tientallen met Palevo besmette USB-sticks aangetroffen, die nauwelijks door virusscanners worden herkend. Werknemers zullen zodoende niet alleen hun eigen thuiscomputer, maar ook de computer op werk via de besmette USB-stick infecteren.

UDP-verkeer
Een bijkomend probleem is dat Palevo de communicatie tussen Command & Control (C&C) server en besmette machines versleutelt en via UDP laat lopen. De reden hiervoor is dat slecht geconfigureerde firewalls en andere appliances geen UDP pakketten loggen en UDP-verkeer standaard toestaan. Zodoende is het eenvoudig om het C&C-verkeer binnen bedrijfsnetwerken verborgen te houden.

Om de dreiging van Palevo beter in kaart te brengen, heeft Huessy naast een blocklist de Palevo-tracker gelanceerd, waarop de verschillende C&C-servers te zien zijn. Soortgelijke trackers verschenen eerder voor de Zeus en SpyEye banking Trojans.