Eind november haalden de FBI, Europol, Microsoft en verschillende bedrijven en organisaties het Andromeda-botnet uit de lucht, maar nog altijd 12 miljoen Windows-computers zijn met de malware besmet en lopen daardoor risico. Dat blijkt uit het 23ste Security Intelligence Report van Microsoft.

Andromeda, ook bekend als Gamarue, is sinds 2011 actief. De malware verspreidt zich op verschillende manieren, zoals e-mailbijlagen, socialmediaberichten, drive-by downloads en usb-sticks. Via de malware hadden criminelen volledige controle over de computers van hun slachtoffers en konden die voor allerlei zaken gebruiken. Zo werd Andromeda gebruikt voor het installeren van andere malware, waaronder ransomware, bankmalware, ddos-malware, spambots en clickfraudemalware.

Om het botnet uit te schakelen werden meer dan 1500 domeinen in beslag genomen die de Andromeda-malware gebruikte om met besmette machines te communiceren. Vervolgens lieten de autoriteiten deze domeinen naar machines van Microsoft wijzen. Op deze manier maakten de besmette computers verbinding met servers van Microsoft. De softwaregigant kon zo het aantal besmette Windows-computers in kaart brengen.

In december werden er maar liefst 17 miljoen met Andromeda besmette computers geteld, waarvan het grootste deel in India, Indonesië en Turkije. In februari was dit aantal naar zo'n 12 miljoen gedaald. Een afname van 30 procent. Hoewel het botnet niet meer operationeel is lopen deze computers nog wel risico. Andromeda probeert namelijk Windows Update, de firewall en User Account Control (UAC) uit te schakelen. Deze functionaliteiten kunnen niet worden ingeschakeld totdat de Andromeda-infectie van het systeem is verwijderd. Microsoft zegt dat het met allerlei partners samenwerkt om de besmette systemen opgeschoond te krijgen.