Botnet Kelihos krijgt koekje van eigen deeg

Ze maakten gebruik van een zogeheten zinkput (‘sinkhole’), wat betekent dat de besmette pc’s opdracht kregen zich voortaan tot andere servers te wenden voor instructies. Daardoor verliezen de criminelen achter het botnet voorgoed de controle over de computers die ze hadden geïnfecteerd met malware.

Beveiligers voegden nep-deelnemers aan botnet toe

De beveiligingsexperts hadden eerst het Kelihos-botnet, dat als een peer-to-peer-netwerk (P2P) functioneert, heimelijk verkend en de versleutelde communicatie tussen de deelnemers ontcijferd. Vervolgens wisten ze nep-botcomputers aan het netwerk toe te voegen, die werden gevoed met een alternatieve lijst van soortgenoten. Die lijst verving de oorspronkelijke ‘peerlist’ van de criminelen.

De nieuwe deelnemerslijst verspreidde zichzelf automatisch en razendsnel over de rest van het botnet. Volgens een van de experts die Computerworld sprak, was dat een kwestie van minuten. Daardoor hadden de criminelen geen kans om in te grijpen. De besmette pc’s verloren het contact met hun oorspronkelijke ‘baasje’ en wachtten op nieuwe instructies van de beveiligingsbedrijven.

Nieuwe generatie opgestaan na eerste aanval door Microsoft

In september 2011 voerde Microsoft ook al een aanval uit op de eerste generatie van Kelihos. Begin dit jaar dook een nieuwe versie van het botnet op, waarschijnlijk opgezet door dezelfde criminelen.

Volgens het Israëlische bedrijf Seculert hebben de personen achter Kelihos zich niet gewonnen gegeven. Ze hadden hun botnet opgebouwd door malware via Facebook te verspreiden en gaan daar zelfs na de actie van 21 maart nog mee door, aldus Seculert.

Efficiënte structuur is ook achileshiel

Zolang het goed gaat, is een P2P-structuur zeer efficiënt. Het maakt het mogelijk instructies en updates snel door te geven aan alle besmette systemen. Maar die efficiëntie is ook de achilleshiel: na het introduceren van een aantal nep-leden kan het hele botnet in korte tijd worden ontmanteld.