Nederlandse primeur: politie waarschuwt botnetslachtoffers

[Han]

Bron: www.webwereld.nl

* Wat is een botnet

Nederlandse primeur: politie waarschuwt botnetslachtoffers - 7 aug 2008
De Nederlandse politie waarschuwt als eerste in de wereld slachtoffers van een botnet. Zij worden doorgeleid naar een speciale pagina met instructies.
Het Korps Landelijke Politiediensten leidt sinds woensdag slachtoffers van een vorige week opgerold Sneeks botnet door naar een speciale waarschuwingspagina. Daar staan instructies waarmee de slachtoffers de communicatie met het botnet kunnen verbreken. De pagina bevat tevens een link naar een online virusscanner en een oproep om aangifte te doen bij justitie.

De waarschuwingspagina is opgesteld in samenwerking met beveiliger Kaspersky Labs en is een wereldwijde primeur, zegt Eddy Willems, virus evangelist van Kaspersky."Dit kan een aansteker zijn voor andere acties rond ons, zodat we dit op een gecoördineerde manier binnen de EU kunnen doortrekken," zegt Willems tegen Webwereld. "Dat zou een mooie manier zijn om dergelijke misdaad te bestrijden."

Om het botnet te verwijderen moet ondermeer een rootkit worden opgeruimd. Daarnaast waarschuwt Willems ervoor dat de computers waarschijnlijk nog zijn geïnfecteerd met andere virussen en malware, waarvoor een virusscanner afdoende zou moeten zijn.

Politie leidt verkeer om
De politie kan het verkeer omleiden omdat zij de controle over het botnet hebben overgenomen. Geïnfecteerde computers leggen dagelijks contact met het botnet in afwachting van nieuwe instructies. Op dat moment stuurt de politie de computers naar de waarschuwingspagina.

De actie volgt op de arrestatie van een 19-jarige Sneker vorige week. De man had een botnet opgebouwd en probeerde dat voor 25.000 euro te verkopen. Daarbij trok hij de aandacht van de FBI waarna arrestatie volgde.

Vorige week schatte politie het aantal besmette computers op zo'n 100.000. Dat aantal is volgens Willems inmiddels opgelopen tot zo'n 140.000 tot 150.000 stuks.

[Han]

bron: www.security.nl

Besmet via MSN
De 1100 Nederlandse slachtoffers van het "Sneker botnet", waarvan de 19-jarige beheerder vorige week door de recherche werd gearresteerd, zijn besmet geraakt via MSN. In totaal zou de Sneker via de Shadowbot meer dan 40.000 machines hebben geïnfecteerd. Hij wilde het botnet verkopen aan een Braziliaan, maar door toedoen van de FBI en Recherche werd dat voorkomen.

Volgens Roel Schouwenberg, senior virus-analist van Kaspersky Lab, komt het vaker voor dat bots zich via MSN verspreiden. Vorig jaar zijn verschillende wormen ontdekt die van Nederlandstalige teksten zijn voorzien. De Russische virusbestrijder heeft op haar website verwijder instructies geplaatst. Alle Nederlandse slachtoffers zijn door het Korps landelijke politiediensten (KLPD) ingelicht hoe ze de besmetting ongedaan kunnen maken. De dienst nam hiervoor contact op met Kaspersky Lab.

Schouwenberg laat tegenover Security.NL weten dat het erop lijkt dat de tiener de templates van de Shadowbot heeft aangepast en niet de auteur van de malware is. De naam shadowbot is afgeleid van de std ircbot. "Het lijkt erop dat hij die naam aan het beestje heeft gegeven."

De malware mag zich dan op traditionele wijze verspreiden, om verwijdering te voorkomen maakt het aanpassingen in het winlogon.exe proces. Dit geeft de kwaadaardige code toegang tot lokale systeemrechten en voorkomt zo de verwijdering van de bestanden. Verder past het regelmatig het register aan om "ongewenste" aanpassingen ongedaan te maken.