Een berucht botnet dat al jaren bestaat en werd ingezet bij het platleggen van Georgische websites in 2008 en het uitschakelen van kritische websites en blogs over het Kremlin in 2009, is weer helemaal terug. In de herfst van 2012 verdween het Black Energy DDoS-botnet van de radar, maar het Russische anti-virusbedrijf Dr.Web heeft een nieuwe variant van de malware ontdekt.

In juli 2012 rapporteerden verschillende websites dat de Black Energy servers niet meer werkten. Alleen in de herfst van vorig jaar werd er geen enkele activiteit van het botnet waargenomen, laat Dr.Web weten. Naast het uitvoeren van DDoS-aanvallen zou Black Energy ook spam versturen. Op het hoogtepunt kon het botnet 18 miljard berichten per dag verzenden.

Encryptiesleutel
De nieuwste variant die recentelijk werd ontdekt, is volgens Dr.Web door dezelfde mensen gemaakt die ook eerdere versies gebruikten. Dit zou worden ondersteund door het feit dat de nieuwe Black Energy over dezelfde encryptiesleutel beschikt, die ook door sommige bots van het oude botnet werd gebruikt, dat in de zomer van vorig jaar offline werd gehaald.

In tegenstelling tot vorige versies, beschikt de nieuwste variant over een versleuteld configuratiebestand dat in een dynamic linking library (DLL) is opgeslagen. Deze DLL wordt bij het starten van de malware in de svchost.exe of explorer.exe processen geïnjecteerd. Ook zou het communicatieprotocol iets zijn aangepast.

Windows
Inmiddels zijn er verschillende Command & Control-servers ontdekt, wat volgens de Russische virusbestrijder aantoont dat de makers een nieuw groot botnet willen opzetten. Vorige maand besloot Microsoft Windows nog tegen Black Energy te wapenen met een update voor de ingebouwde Malicious Software Removal Tool (MSRT).