Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties, 10.959 views •

De Digital Crimes Unit van Microsoft heeft samen met Symantec het Bamital-botnet offline gehaald. Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites. Ook in Nederland werd een server offline gehaald.

MalwareVolgens Microsoft had het botnet tussen de 300.000 en 1 miljoen systemen geïnfecteerd. Het botnet kaapte de zoekresultaten van gebruikers en verwees ze door naar malafide websites. Zo verwezen zoekresultaten voor de term 'Nickelodeon' door naar websites met malware. Hetzelfde gold voor zoekresultaten voor beveiligingssoftware.

Microsoft en Symantec haalden de command-and-control-servers offline, waardoor de beheerders van het botnet hoogstwaarschijnlijk niet meer met de 'zombies' in het botnet kunnen communiceren. Of het botnet daardoor daadwerkelijk onthoofd is, is onduidelijk. "Dat zal de komende tijd blijken", zegt een woordvoerder van Microsoft tegenover Reuters.

De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter. Daarnaast haalden ze één server offline bij een Nederlandse hostingprovider. Volgens Webwereld hebben de botnet-beheerders in het verleden ook gebruikgemaakt van servers bij de Nederlandse hostingprovider Leaseweb, maar zijn die op het moment van schrijven niet meer in gebruik.

Als gevolg van de actie konden gebruikers die waren geïnfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn geïnfecteerd en wordt hulp aangeboden om het probleem op te lossen. Microsoft en Symantec hebben in het verleden vaker samengewerkt om botnets offline te halen.

Reacties (41)

Reactiefilter:-141039+131+21+30
Moderatie-faq Wijzig weergave
Microsoft Security Essentials is een gratis virusscanner van MS die het ook prima doet.
Mooi dat er weer een botnet opgeruimd is maar het is jammer genoeg dwijlen met de kraan open.
Ik las eerst 'bamibal-botnet'. :')
Maar wel goed dat ze het netwerk hebben opgerold, hoe meer hoe beter.
Uitvoerende macht bij commerciele bedrijven? Wow! ;-) Sta ik wel van te kijken zeg. Ingehuurd door de overheid als de lange arm der wet. Met hun Microsoft badges en een 'permit'! ;-)
Dit is anders niet de eerste keer dat Microsoft (in samenwerking met andere) een (groot) botnet de grond in stampt.
Daarin wordt gebruikers verteld dat ze zijn ge´nfecteerd en wordt hulp aangeboden om het probleem op te lossen
Is dit dan met de melding dat je de wet hebt overtreden en een boete moet betalen van een overschrijving op een rekening ergens in Rusland e.d. :+
Moest ik ook direct aan denken.

Jammer dat iemand weer geen gevoel voor humor had. +1tje van mij in ieder geval.
Heel mooi dat MS en Symantec van buitenaf je Windows server binnensluipen om een botnet op te ruimen, maar via datzelfde soort gaten komen de hackers juist binnen...
Hoe weet je dat de hackers die gaten hebben gebruikt?
De bedrijven vielen datacenters in Virgina en New Jersey binnen, met toestemming van de Amerikaanse rechter.
Het gaat hier om een fysieke server, niet via RDP inloggen. Daar hebben ze dan ook totaal geen mogelijkheid toe, zo'n achterdeur zou veel te snel worden gevonden en misbruikt.
MS en Symantec hebben helemaal niet een windows server binnen geslopen? Ze hebben met een rechterlijk bevel de fysieke server gewoon uit het rack gehaald en vervangen door hun eigen. Niets backdoor achtigs aan?
Lees: http://www.nu.nl/internet...erland-uitgeschakeld.html
Daar staat: Microsoft en Symantec zouden via automatische berichten programma’s hebben aangeboden die de ge´nfecteerde computers reinigen van virussen.
Dat klinkt voor mij als via een achterdeur naar binnen...
Uit bovenstaand artikel:
Als gevolg van de actie konden gebruikers die waren ge´nfecteerd, tijdelijk niet zoeken op internet. In plaats daarvan gebruikt Microsoft de servers van het botnet om gebruikers te forwarden naar een pagina met uitleg. Daarin wordt gebruikers verteld dat ze zijn ge´nfecteerd en wordt hulp aangeboden om het probleem op te lossen.
Botnet server fysiek vervangen door eigen server en ipv searches een uitleg pagina serveren is puur alleen gebruik maken van de aanpassingen op de search page die het botnet heeft gemaakt. Niks geen achterdeur, gewoon slim gebruik maken van de bestaande infecties.
"In plaats daarvan gebruikt Microsoft de servers van het botnet..." Hoe komt Microsoft op die servers van het botnet?
Gerechtelijke toestemming, en een weg om de infecties te verwijderen.
Het is helaas inderdaad altijd maar de vraag of dit daadwerkelijk het einde is van dit botnet. Vaak zijn de trojans zo geschreven dat ze backup-mogelijkheden hebben dus met een nieuwe C&C server verbinding zullen maken of nog beter informatie van een andere C&C server ontvangen om zichzelf te herconfigureren op de nieuwe servers.
Het is altijd even afwachten na zo'n actie of er geen slim mechanisme in zit die ze over het hoofd hebben gezien maar aangezien het 2 grote spelers zijn binnen de IT-sector ga ik er al bijna vanuit dat het wel goed zit. Maar jah, assumption is the .......
Het zal waarschijnlijk erg moeilijk zijn de personen die dit opgezet hebben te achterhalen of er moet al 1 zo dom zijn een app op zijn telefoon te hebben of rechtstreeks zonder proxies of bijv. TOR in te loggen op de C&C servers.
Ik denk dat Microsoft en Symantec wel rekening zullen hebben gehouden met back-up servers.
Goede actie van Microsoft en Symantec. Hoop dat er nog meerdere zullen volgen, zodat (ijdele hoop) het internet weer wat veiliger wordt.
Het volgens Microsoft gevaarlijke botnet kaapte zoekresultaten van gebruikers en verwees ze door naar gevaarlijke websites
Fijn heh, zoekmachines die niet via SSL werken. Ze zijn er wel, maar niet Google... (tenminste niet standaard)

[Reactie gewijzigd door _Thanatos_ op 7 februari 2013 12:46]

Als je bent ingelogd in Google staat ie wel automatisch altijd op SSL.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True