Een spambotnet dat Microsoft vorig jaar september uitschakelde is helemaal terug en besmet Windows-computers nu via het lek dat ook de beruchte Stuxnetworm gebruikte. Kelihos was destijds naar verhouding een klein botnet dat uit 41.000 computers bestond. Via een "ex parte" verbod kon Microsoft de domeinen en servers van het botnet offline halen.

Ook werd de botnetbeheerder door Microsoft aangeklaagd, maar dat leek weinig effect hebben. In januari van dit jaar herrees het botnet uit de as en in de afgelopen maanden heeft de malware zich verder ontwikkeld.

Zo kan Kelihos zich nu ook via USB-sticks en andere verwijderbare media verspreiden. Daarvoor gebruikt het naar alle waarschijnlijkheid CVE-2010-2568. Dit is dezelfde kwetsbaarheid waardoor de Stuxnetworm zich kon verspreiden. Het openen van een besmette USB-stick is voldoende om besmet te raken, ook al is Autorun uitgeschakeld. Microsoft patchte de kwetsbaarheid in 2010, waardoor alleen computers die meer dan twee jaar niet zijn bijgewerkt risico lopen.

Botnet
Inmiddels behoort Kelihos tot één van de grootste spambotnets ter wereld, dat zo'n 100.000 tot 150.000 besmette Windows-computers spam laat versturen. Volgens beveiligingsonderzoeker Roman Huessy is Kelihos zo succesvol geworden omdat het 'dubbele 'FastFlux' gebruikt en via Peer-to-peer communiceert, waardoor het lastig is uit te schakelen.

"Door zich via USB-sticks te verspreiden, heeft Kelihos ook een effectieve manier gevonden om zich via netwerken en computers te verspreiden, zonder de noodzaak van een centrale distributie infrastructuur", aldus Huessy, die stelt dat de nieuwste Kelihos-varianten slecht door virusscanners worden gedetecteerd.