Nog altijd 200.000 IP-adressen zijn onderdeel van het Mevade-botnet, dat vorig jaar voor een explosieve groei van het aantal gebruikers van het Tor-anonimiseringsnetwerk zorgde. Mevade, ook bekend als Sefnit, gebruikt besmette computers voor het plegen van clickfraude en het delven van Bitcoins.

Vorig jaar kwam het botnet opeens in het nieuws toen het het Tor-netwerk gebruikte om besmette computers mee aan te sturen. Dit zorgde ervoor dat het aantal Tor-gebruikers van zo'n 800.000 naar meer dan 5,5 miljoen gebruikers groeide. Eind april lieten Facebook-onderzoekers weten dat Mevade het Tor-netwerk niet meer gebruikte, maar via SSH met besmette computers communiceerde.

Nieuw botnet

Nu komen onderzoekers van Anubis Networks met het nieuws dat ze een botnet hebben ontdekt dat een deel van het Mevade-botnet is en ook niet via Tor communiceert. Mogelijk gaat het hier om hetzelfde botnet waarvoor Facebook in april waarschuwde of het is een andere variant. Doordat deze variant geen Tor gebruikt konden de onderzoekers het verkeer van het botnet naar hun eigen servers omleiden.

Daaruit blijkt dat nog elke dag 200.000 unieke IP-adressen onderdeel van dit botnet uitmaken. Hoewel de omvang van het botnet is afgenomen, is het allesbehalve dood, aldus de onderzoekers. Die zeggen mogelijk ook een verklaring te hebben gevonden waardoor het botnet zo groot kon worden. De malware zou namelijk met adware gebundeld zijn, zoals eerder ook al door Microsoft werd aangegeven.

"Als je adware op je pc of telefoon installeert, bewust of onbewust, krijg je niet alleen vervelende advertenties. Je geeft ook iemand anders toegang tot het apparaat en dit kan voor ergere dingen zorgen dan die advertenties", waarschuwen de onderzoekers. Ze stellen dat zolang Mevade nog op honderdduizenden computers geïnstalleerd staat het een bedreiging blijft.