Het Kelihos-botnet dat de FBI vorige week in samenwerking met beveiligingsbedrijven en onderzoekers uitschakelde bestond uit tienduizenden computers, zo meldt de in Nederland gevestigde Shadowserver Foundation, een organisatie die zich met de bestrijding van botnets bezighoudt.

Het botnet werd voor allerlei vormen van cybercrime gebruikt, zoals het verspreiden van spam en malware. Al drie keer eerder, in 2011, 2012 en 2013, was geprobeerd het botnet uit de lucht te halen, maar elke keer slaagde de beheerder erin om de controle terug te krijgen. Op 8 april werden de domeinen van het botnet in beslag genomen en aangepast, zodat besmette computers verbinding met servers van de Shadowserver Foundation maakten.

In de eerste vijf dagen sinds de operatie maakten ruim 222.000 unieke ip-adressen met de servers verbinding. Dit wil nog niet zeggen dat er ook zoveel besmette machines zijn, aangezien een besmette machine gedurende deze periode meerdere ip-adressen kan hebben gehad. Dat blijkt ook uit de tweede statistiek die de Shadowserver Foundation heeft vrijgegeven.

Bijna 120.000 unieke ip-adressen stuurden namelijk een speciaal verzoek naar de servers van de organisatie. Deze verzoeken bleken uiteindelijk van zo'n 46.000 unieke bots afkomstig te zijn. De ip-adressen worden nu met nationale Computer Emergency Response Teams (CERTs) en internetproviders gedeeld. Die kunnen vervolgens hun gebruikers en klanten waarschuwen. De vermeende beheerder van het botnet is door de Spaanse autoriteiten opgepakt.