Polen legt botnet Virut plat

Vorige maand probeerden de Polen het botnet al af te sluiten, maar de eigenaren van Virut wisten de kwaadaardige botnetdomeinnamen over te zetten naar een nieuwe registreerder: home.pl.

Waledac steekt kop op

Virut telt ruim 300.000 besmette systemen, volgens beveiliger Symantec. Het richt zich vooral op het verspreiden van spam en andere besmette e-mails. Volgens Symantec zijn binnen Virut rond de 77.000 bots besmet met Waledac. Zij versturen gemiddeld 2000 spamberichten per uur en dat gedurende 8 tot 24 uur per dag.

Virut is al zeker sinds 2006 actief. Symantec waarschuwde vorige week nog dat Virut gebruikt werd om het spam botnet Waledac weer op te bouwen. Waledac werd in 2010 platgelegd door Microsoft.

Het botnet richtte zich in zijn eerste jaren vooral op het stelen van informatie uit geïnfecteerde systemen. Het besmette pc’s via removable drives en file-sharing netwerken. De afgelopen jaren fungeerde Virut vooral als de motor achter de verspreiding van malwarebundels volgens de pay-per-install-methode (PPI-netwerken). Daarbij zorgt Virut voor de distributie van zogeheten installer-programma’s waarin malware en adware zijn gebundeld. De hackers die de softwarebundels afnemen, betalen Virut voor een afgesproken aantal keren dat hun installerprogramma’s op nieuwe systemen draaien.

Niet definitief

Of Virut met deze actie werkelijk zal verdwijnen is verre van zeker. Een groot aantal control servers van het botnet bevindt zich buiten de invloedsferen van NASK. Er staan er vooral veel bij .ru-domeinen. Daarnaast heeft het botnet een zogeheten failsafe-mechanisme ingebouwd. Als bots niet bij hun controlservers kunnen komen, worden ze automatisch doorgestuurd naar andere domeinen; er zijn er per dag zo’n 10.000 voorhanden.

Als de beheerders van Virut een van die domeinen kunnen registreren bij een andere registreerder, zou het botnet zich snel kunnen herstellen.

NASK zal samen met ISP’s en beveiligers getroffen gebruikers inlichten en helpen hun systemen te schonen.