Botnet krijg je niet zomaar helemaal weg

Conficker dook op in de loop van 2008. Microsoft patchte het lek in Windows dat Conficker misbruikte in december van dat jaar, en daarna namen beveiligingsexperts het command & controlcenter van dit botnet over. De uitbaters van het botnet lieten de Conficler-zombies daarna aan hun lot over. Daarmee is de aanwezigheid van botnets op Windows-systemen afhankelijk geworden van de effectiviteit van opruimmaatregelen door internet service providers en leveranciers van antivirussoftware.

Redactie AG ConnectMeer van deze auteur

De effectiviteit daarvan valt tegen, concluderen de Delftse onderzoekers uit analyses van de gegevens van de zogeheten 'zinkput' die de oproepen van zombies aan het botnet-beheercentrum afvangt. Meer dan een miljoen IP-adressen zochten contact met die Conficker-zinkput. Dat kan niet één op één vertaald worden naar aantallen pc's, omdat lang niet alle pc's een vast IP-adres hebben. Maar het geeft wel aan dat het nog om veel systemen gaat en dat zombies dus lastig te elimineren zijn.

Daar zijn een aantal conclusies aan te verbinden, aldus de onderzoekers. De eerste is dat het uitbannen van zombies dus een zaak van lange adem is. Daarnaast valt te concluderen dat het kennelijk voor een deel van de pc-bezitters lastig is om een eenmaal opgelopen besmetting te verwijderen; de betrokken leveranciers zouden dat simpeler moeten proberen te maken. En de derde is dat pc's die besmet zijn met een botnet-agent waarschijnlijk ook vatbaarder zijn voor andere botnet-agenten. Uit hun analyses blijkt namelijk dat 10 procent van de pc's die onderdeel waren gemaakt van het recentere Gameover Zeus-botnet, ook besmet waren met Conficker

Hadi Asghari, Michael Ciere en Michel van Eeten presenteren hun onderzoek op de Usenix-conferentie die volgende week begint in Washington DC. Ze hebben hun bevindingen al online gezet onder de titel Post-Mortem of a Zombie: Conficker Cleanup After Six Years.