Een botnet dat uit mogelijk 250.000 besmette computers bestond en de geïnfecteerde machines Bitcoins liet delven, is dankzij de inzet van Facebook uitgeschakeld. Het gaat om het Lecpetex-botnet dat eind vorig jaar verscheen en Facebook, spamberichten en Torrent-sites gebruikte om zichzelf te verspreiden.

Naast het laten delven van computers naar digitale valuta zoals Bitcoins en Litecoins werden de Facebookaccounts op de computers ook gebruikt voor het versturen van "social spam". Het ging dan om berichten met een ZIP-bestand waarin een Java-bestand zat dat de malware op de computer downloadde. Op het hoogtepunt zou het om 50.000 gecompromitteerde accounts gaan die de spamberichten naar andere Facebookgebruikers stuurden. De besmette ZIP-bestanden werden ook via e-mail verspreid.

Griekenland

De sporen die Facebook tijdens het onderzoek naar het botnet ontdekte wezen naar Griekenland, waarop de cyberdivisie van de Griekse politie op 30 april werd gewaarschuwd. Op 3 juli liet de Griekse politie weten dat het onderzoek zich in de laatste fase bevond en er twee verdachten waren aangehouden. Volgens de Griekse politie waren de auteurs van de malware bezig met het opzetten van een Bicoin "mixing" service om gestolen Bitcoins te witwassen.

Virusscanner

Facebook ontdekte dat de auteurs van de malware updates naar de besmette computers stuurden, zodat de infectie niet door virusscanners werd herkend. "Toen we beseften dat traditionele bescherming zoals een virusscanner deze dreiging niet zou verhelpen, besloten we een andere aanpak te kiezen, door met providers en opsporingsdiensten samen te werken", zo laat de sociale netwerksite weten.

Het Facebookteam wist belangrijke informatie over het botnet te verzamelen en begon ook allerlei maatregelen tegen het botnet te nemen. In mei van dit jaar lieten de auteurs ook opeens berichten in de malware voor de onderzoekers achter, zoals "Hello people.. :) but am not the f***ing zeus bot/skynet bot or whatever piece of sh*t.. no fraud here.. only a bit of mining. Stop breaking my ballz.."

Ook via de encryptiesleutels communiceerden de malwaremakers. Het ging dan om zinnen als "pepeishereagain1" en "IdontLikeLecpetexName" die als encryptiesleutel werden gebruikt. Volgens Facebook liet dit zien dat de maatregelen effect hadden. Uiteindelijk wist de Griekse politie begin deze maand de twee vermeende malwaremakers aan te houden. Facebookgebruikers die denken dat hun computer met deze malware besmet is geraakt krijgen het advies van Facebook om de computer via deze pagina te laten scannen.