Een botnet dat vooral wordt gebruikt om geld van online bankrekeningen te stelen blijkt nu een virusscanner van Avira te verspreiden, zo heeft het Duitse anti-virusbedrijf Avira bekendgemaakt. Het gaat om het Dridex-botnet, dat vorig jaar nog doelwit van een operatie van Europol en de FBI werd.

Volgens de Duitse virusbestrijder is een distributiekanaal van Dridex gehackt. In plaats van malware krijgen mensen nu schone versies van Avira Antivirus aangeboden. Ondanks de operatie van de opsporingsdiensten is Dridex nog steeds actief. De malware verspreidt zich vooral via kwaadaardige macro's in Office-documenten. Zodra gebruikers de macro inschakelen zal die de malware op de computer downloaden. Tot verrassing van Avira wordt de Avira-webinstaller echter gedownload.

In plaats van een computerinfectie krijgen de gebruikers op deze manier een virusscanner. "We weten nog steeds niet wie hier achter zit en waarom, maar we hebben een aantal theorieën", zegt malware-expert Moritz Kroll. De eerste theorie is dat cybercriminelen op deze manier het detectieproces van anti-virusbedrijven proberen te verstoren, maar Kroll denkt niet dat dit het geval is.

De tweede theorie is volgens hem waarschijnlijker, namelijk dat een 'white hat hacker' verantwoordelijk is. Mogelijk heeft deze hacker dezelfde kwetsbaarheden gebrukt die ook de Dridex-auteurs hebben gebruikt om servers te hacken en daar hun malware te plaatsen. De hacker zou de malware vervolgens hebben vervangen met de webinstaller van Avira. Volgens Kroll is deze werkwijkze in de meeste landen illegaal en zal de hacker zich daarom waarschijnlijk niet bekendmaken.