image

Symantec bevrijdt 500.000 bots uit reuze-botnet

maandag 30 september 2013, 15:52 door Redactie, 3 reacties

Anti-virusbedrijf Symantec heeft één van de grootste botnets op internet een zware slag toegebracht door 500.000 bots uit het kwaadaardige netwerk te bevrijden. Het gaat om het ZeroAcces-botnet, dat uit zo'n 1,9 miljoen geïnfecteerde computers bestaat.

De computers in het botnet worden onder andere gebruikt voor het plegen van clickfraude en het genereren van de virtuele munt Bitcoin. Bij de clickfraude van ZeroAcces wordt er door de malware op de computer een advertentie gedownload, waar dan een valse click op wordt gegenereerd waardoor het lijkt alsof de click van een legitieme gebruiker afkomstig is. De adverteerder betaalt het advertentienetwerk, dat uiteindelijk de partij betaalt waar de click werd verricht. Volgens Symantec zou het botnet in potentie tientallen miljoenen dollars per jaar via clickfraude kunnen verdienen.

Peer-to-peer

In tegenstelling tot traditionele servers, die via een centrale Command & Control (C&C) server worden aangestuurd, gebruikt ZeroAccess peer-to-peer (P2P) communicatie. Zodra een computer met de malware besmet raakt, zoekt die eerst naar andere besmette computers in het botnet. Via deze besmette computers worden vervolgens bestanden en opdrachten uitgewisseld.

Door het gebruik van P2P is het veel lastiger om het botnet aan te pakken dan bij een traditionele C&C-server het geval is, aangezien er geen centrale aansturing is. Onderzoekers van Symantec ontdekten in maart van dit jaar een kwetsbaarheid waardoor het mogelijk was om besmette computers uit het botnet te bevrijden.

In mei verscheen echter een rapport waarin beveiligingsonderzoekers de kwetsbaarheid openbaarden. Dit rapport kan er mogelijk voor hebben gezorgd dat de botnetbeheerders achter het probleem kwamen, want na de publicatie werd er begonnen met het updaten van de besmette computers in het botnet met een nieuwe versie van de bot, waarin het probleem was opgelost.

Actie

Om het momentum niet te verliezen besloot Symantec op 16 juli tot actie over te gaan en wist uiteindelijk meer dan 500.000 computers van het botnet los te koppelen. Volgens het anti-virusbedrijf laat dit zien dat het stoppen van P2P-botnets lastig, maar niet onmogelijk is. De gegevens van het ZeroAccess-botnet zijn inmiddels met internetproviders en Computer Emergency Readiness Teams (CERTs) gedeeld, zodat die kunnen helpen bij het ontsmetten van de besmette computers.

Reacties (3)
30-09-2013, 16:40 door Anoniem
p2p heeft alsnog (minimaal 1) tracker nodig om te weten waar die moet zoeken voor andere peers; hoeveel trackers gebruiken ze dan dat het blijkbaar 'lastig' is om hem uit te schakelen? 10.000+?
30-09-2013, 17:03 door Anoniem
Pluim voor Symantec Norton! Goed gedaan. En ga zo door!
30-09-2013, 22:00 door AapNootMies
Mag dit wel zomaar of pleegt Symantec nu ook gewoon computervredebreuk?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.