Microsoft haalt spambotnet offline

Microsoft heeft een botnet met 41.000 leden offline gehaald. Het Kelihos-botnet werd onder meer gebruikt om privégegevens van geïnfecteerde pc's te halen en spammails te versturen, met links naar kinderporno en scams.

Het botnet werd dinsdagavond offline gehaald, nadat Microsoft vorige week van een Amerikaanse rechtbank toestemming kreeg om het te verstoren. Ook heeft Microsoft de beheerder van het botnet, die vanuit Tsjechië zou opereren, aangeklaagd, evenals 22 andere, niet bij naam genoemde mensen. Ook wordt de beheerder van het botnet bij naam genoemd; het is voor het eerst dat Microsoft dat doet.

Het botnet, met de naam Kelihos, was met 41.000 leden relatief klein. In maart haalde Microsoft met hulp van de Nederlandse politie een botnet offline dat uit 'miljoenen' leden bestond.

Het is onduidelijk welke malware door het Kelihos-botnet werd gebruikt, maar zeker is wel dat het botnet onder meer werd gebruikt om spam te versturen, maar liefst 3,8 miljard berichten per dag. Daarbij waren scammails en mails die naar kinderpornosites verwezen. Ook werden van geïnfecteerde pc's privégegevens buitgemaakt, zoals wachtwoorden.

Microsoft gaat samenwerken met overheidsinstellingen en internetproviders om door het botnet geïnfecteerde pc's op te schonen. Het botnet zou in verband zijn gebracht met het eerste botnet dat Microsoft offline haalde, met de naam Waledac.

IT-banen

Reacties (42)

wriswith 28 september 2011 15:11

Ik snap niet waarom het de taak van Microsoft is om botnets op te sporen en neer te halen. Dit lijkt me eerder een taak voor het gerecht en zijn cyber crime units.

Ook het aanklagen van de beheerder van het botnet vind ik maar vreemd. In eerdere gevallen ging de rechtszaak over trademark infrigment bij de verzonden spam mails, maar hier gaat het om het neerhalen van domeinen om het verspreiden van de malware tegen te gaan.

Freee!!

@wriswith • 28 september 2011 15:27

Ik snap niet waarom het de taak van Microsoft is om botnets op te sporen en neer te halen.

Burgerplicht

Microsoft heeft de capaciteit in huis om een einde te maken aan bepaalde misstanden en doet dat -met verkregen toestemming van een rechter- ook. Ik ben echt niet de grootste fan van Microsoft, maar voor dit soort acties verdient Microsoft echt wel een pluim (en dan laat ik de mogelijke KP nog buiten beschouwing, daar mag nog veel harder tegen opgetreden worden wat mij betreft).

tes_shavon @wriswith • 28 september 2011 15:28

Uit de restraining order aan de aangeklaagde staat dat één van de redenen waarom Microsoft dit doet is omdat de acties van deze persoon de goede naam van microsoft aantast doordat gebruikers zouden kunnen denken dat Kelihos een onderdeel zou zijn van Windows. Verder werd er veel gespamd van en naar Hotmail adressen.

[Reactie gewijzigd door tes_shavon op 23 juli 2024 14:19]

hhoekstra 28 september 2011 17:59

Wanneer ik nu Windows update doe zie ik al een update voor de software removal tool staan. Op de website van Microsoft lees je dat de backdoor al is toegevoegd:

http://support.microsoft.com/?kbid=890830

Win32/Kelihos September 2011 (V 4.0)Gemiddeld

KoploperMau 28 september 2011 14:56

Waarom heeft Microsoft toestemming van de rechter nodig om zo'n botnet te "verstoren"? Offline halen die rommel, pronto! Links naar kinderporno en scams moeten gewoon meteen offline gehaald worden.

Plague @KoploperMau • 28 september 2011 14:58

Wat ik nog veen interessanter vind is hoe MS dit dan doet. Daarvoor is blijkbaar een of andere backdoor nodig in Windows, zodat MS de geinfecteerde PC kan desinfecteren. Anders zou het gaan om het blokkeren/weren van bepaalde PC's van het netwerk van MS, maar dat staat er niet.

Iemand hierover meer info?

tes_shavon @Plague • 28 september 2011 15:12

uit het artikel waar in het artikel naar wordt gelinkt:

Cleaning up computers infected with the botnet malware is also a very important part of every Microsoft botnet takedown operation, and we are planning to work with Internet Service Providers (ISPs) and Community Emergency Response Teams (CERTs) to repair the damage caused by Kelihos as we have with Rustock and Waledac. To help assist in that process, the Microsoft Malware Protection Center will add the Win/32 Kelihos family in a second release of the Malicious Software Removal Tool later today to help minimize the malware’s future impact. And, as we have since the beginning of our botnet takedown initiative, we continue to provide free tools and information to help customers clean and regain control of their computers at http://support.microsoft.com/botnets.

Eagle Creek

@Plague • 28 september 2011 16:43

Niet meteen zo paranoide denken. Het is geen technische commando-operatie waarbij men m.b.v. backdoors en slinkse praktijken binnen een uur alle machines heeft geschoond. Je moet het down halen meer zien als een organisatorische stap, die vervolgens ondersteund wordt door technische stappen.

Als machines in dit botnet bv Windows Update draaien, zal de WMSRT hem bij de volgende update eruit halen. Anderzijds kan Microsoft contacten aanwenden om centrale spillen uit te schakelen, zij het via administratieve handelingen.

Niet alles is puur technisch anno 2011

tes_shavon @Plague • 28 september 2011 15:01

Toevallig van de week ook een update gehad van microsoft met een software removal update? Ik wel namelijk op mijn server thuis.

[Reactie gewijzigd door tes_shavon op 23 juli 2024 14:19]

Toff @tes_shavon • 29 september 2011 01:10

Ja, en dat kostte mij de videodrivers op een oude XP-laptop. Gelukkig was er wel automatisch een restore point gemaakt. Nogal vreemd, dat MS niet even de moeite neemt om de gebruiker te vertellen wat er dan zo nodig verwijderd moet worden. Zeg nooit nooit - en zelfs dat niet - maar ik acht de kans erg klein, dat nu juist die - zeer weinig gebruikte - laptop, die wel regelmatig van de nieuwste beveiligingsupdates wordt voorzien, besmet zou zijn met malware. Zeer ondoorzichtig iig.

Verwijderd @Toff • 29 september 2011 12:04

Dus jij vindt dat microsoft eerst elke computer moet laten screenen voordat ze een update die dringend nodig is pushen? Ben je mal?

Toff @Verwijderd • 29 september 2011 23:50

De meeste malwareverwijderingstools (zoals Malwarebytes en Ccleaner, bv) kennen een mogelijkheid tot analyse, waarna je per gevonden malware kunt aangeven wat je ermee wilt doen. Ook McAfee meldt na aantreffen van een "MOP" (Mogelijk Ongewenst Programma) etc. de mogelijkheid om de melding desgewenst te negeren, ipv het betreffende onderdeel in quarantaine te plaatsen.
Microsoft geeft zelfs geen melding en blijkt nogal destructief uit te kunnen pakken. Van dezelfde laptop is enige tijd terug de ingebouwde WiFi onklaar geraakt. Plotseling kwam de laptop in een eindeloze loop, die pas ophield toen ik de WiFi schakelaar (gelukkig hardwarematig aanwezig) in de uitstand schakelde. Toen niet bij stilgestaan, er gaat wel vaker iets kapot, maar na eerdergenoemde videodriverproblemen, heb ik voor de lol eens de originele drivers voor de WiFi opnieuw geladen. Werkt weer perfect! Ik heb een zwaar vermoeden dat ook hier de maandelijkse MS-softwareverwijderingtool verantwoordelijk is geweest. Ook al omdat ik toen de laptop met werkende Wifi had uitgezet.

Xubby @Plague • 28 september 2011 15:22

Ook interessant is in welk land de pc's of servers van het botnet stonden.
In juridisch opzicht dan.
De rechter in de VS geeft MS toestemming een botnet onderuit te halen. Dat het onderuit gaat oké. Maar hoe zit het met het recht van het land (of landen?) waar die machines stonden?
De beheerders en de domeinnamen waren Tjechisch. En er wordt een tijd in C.E.T. genoemd, Central European Time, dacht ik.
Ik ben toch best wel nieuwsgierig of VS recht op machines niet in de VS is toegepast.

basdej @Xubby • 28 september 2011 20:25

ik kan me eerlijk gezegd geen reden bedenken waarom je moeilijk zou doen voor het neerhalen van een botnet....

TheTeek @Plague • 28 september 2011 14:59

windows defender wellicht?!

Dreamvoid

Malware

@Plague • 28 september 2011 15:00

Een update pushen via Windows Update?

hiekikowan

@Plague • 28 september 2011 15:02

Als je na gaat denken over het artikel wordt de manier van werken natuurlijk wel duidelijk. Microsoft heeft de bron van het botnet opgezocht en deze vervolgens uitgeschakeld. Nu zullen ze samen met de internetproviders proberen alle geïnfecteerde PC's op te schonen, dit zal waarschijnlijk gedaan worden aan de hand van een netwerkanalyse of een tool welke via Windows Update uitgerold wordt.

Njipep @Plague • 28 september 2011 15:11

Kenmerk van de zombies in zo'n netwerk is dat ze remote te besturen zijn. Lijkt me een goede mogelijkheid dat ze dezelfde backdoor gebruiken om het systeem weer op te schonen?

TDeK

Beveiliging

@Plague • 28 september 2011 15:31

Wat ik nog veen interessanter vind is hoe MS dit dan doet.

Op zich heel simpel. Microsoft krijgt van de rechter toestemming om de Command&Control servers offline te halen. Vervolgens kijken ze gewoon naar het inkomende verkeer op de IP adressen van de voormalige C&C server(s) en daarmee kun je een mooi lijstje van geïnfecteerde machines opstellen. Door de malware ook aan de MRT tool toe te voegen schoon je ook het overige deel nog op.

TunefulDJ_Mike @Plague • 28 september 2011 15:02

waarschijnlijk vragen ze gewoon ip gegevens op en vervolgens nemen ze op een manier contact op om te melden dat je geïnfecteerd ben denk niet dat Microsoft zo dom is om de backdoordt te gebruiken dat kan namelijk goed backfireren

[Shadow] @rschwartnld • 28 september 2011 18:15

Echt niet jij komt er nooit achter ms heeft genoeg backdoors waar geen mens weet van heeft.

Heb jij daar een link van waar dat bewezen wordt? 'T is nogal een bewering namelijk.

Defender houd zich meer bezig of jij wel legale software draait.

Zelfde vraag, heb je links naar onderzoeken die jouw bewering kunnen ondersteunen?

Yezpahr @[Shadow] • 29 september 2011 03:24

Heb jij daar een link van waar dat bewezen wordt? 'T is nogal een bewering namelijk.

Vraag je dat ook als gelovigen zeggen dat God de wereld heeft gemaakt?

In dit geval zegt een gelovige dat MS backdoors heeft waar geen mens van weet.
Nou, dan is er dus geen mens die het heeft bewezen en/of het op internet heeft gezet.
Waarom neem je hem serieus? Ik vond het rieken naar spontane troll-soep

Je ziet al een scheve vergelijking van hem. Hij denkt dat backdoors in de voorwaarden staan.

.

En dan heeft hij het over gezond verstand.
Een beetje gezond verstand zou nadenken over het doel en het gebruik van Windows Defender en voor zichzelf besluiten dat het inderdaad bagger is.
Let wel, ik heb mijn mening als link gebruikt, maar dat moet iedereen voor zichzelf bepalen.
Ik vond eigenlijk de #10 de doorslag geven. Het is anti-spyware, maar ondertussen is het per definitie zèlf spyware. Het maakt het alleen kenbaar op een of andere manier dat ze je gedrag bespioneren en om die reden word het al niet meer "bespioneren" genoemd.

Sommige mensen vinden het toch een handig programma, ook al voegt het niets voor hun toe. (een kwestie van ignorance is bliss, zo lang jíj het negeert heb jíj er geen last van)

[Reactie gewijzigd door Yezpahr op 23 juli 2024 14:19]

Alex3 @[Shadow] • 29 september 2011 10:20

Dit ziet er wel zo uit: typ "net users" in een cmd-venster.

Triblade_8472 @KoploperMau • 28 september 2011 16:19

Waarom heeft Microsoft toestemming van de rechter nodig om zo'n botnet te "verstoren"?

Omdat het anders de digitale versie is van huisvredebreuk. Zeker omdat je (lees: Microsoft) eigenlijk code executeerd op een computer van iemand anders.

Volgens mij mag je ook niet zomaar iemand anders zijn huis binnen ook al zie je dat daar een misdrijf wordt gepleegd. Of de digitale versie ervan: Ik mag niet jou computer hacken om een virus er vanaf te halen. (Dit is dus speculatie naar verwachting)

R-J_W @Triblade_8472 • 28 september 2011 17:22

On Sept. 22nd, Microsoft filed for an ex parte temporary restraining order from the U.S. District Court for the Eastern District of Virginia against Dominique Alexander Piatti, dotFREE Group SRO and John Does 1-22. The court granted our request, allowing us to sever the known connections between the Kelihos botnet and the individual “zombie computers” under its control.

Zoals gelinkt in het nieuwsbericht

MS heeft dus toestemming gevraagd om het Kelihos netwerk te 'hacken'. Door zelf control-servers voor het botnetwerk te gaan runnen.

[Reactie gewijzigd door R-J_W op 23 juli 2024 14:19]

Ampelman @Triblade_8472 • 28 september 2011 19:01

De digitale versie van huisvredebreuk is in de Nederlandse wet opgenomen onder de noemer 'computervredebreuk' / artikel 138A. Die schrijft voor dat het kraken, infiltreren of leeghalen van een andere pc strafbaar is zonder explicite toestemming.

In dit geval moest MS dus toestemming hebben om dit 'juridisch correct' uit te kunnen voeren. Mochten zij dit op eigen houtje gaan doen, dan krijgt ook MS een strafzaak, ondanks alle goede bedoelingen.

In de meeste gevallen zijn dit administratieve handelingen omdat justitie vaak betrokken is in dergelijke situaties.

Linkje naar het wetsartikel, voor de geïnteresseerden.
http://wetten.overheid.nl...ldigheidsdatum_28-09-2011

Voor mensen die alleen willen weten hoeveel jaar erop staat, tot een maximum van 4 jaar celstraf of een boete van de vierde categorie (dat is 19.000 max)

Verwijderd @KoploperMau • 29 september 2011 12:05

Anders zou het illegaal zijn....

Ik vindt het uberhaubt vreemd dat ze de toestemming hebben gekregen omdat dit normaal toch niet de taak van de privé is?

majetta 28 september 2011 15:31

kinder porno site spammen ? dat kan ik niet echt begrijpen, het is illegaal dus waarom zou je onbekenden een spam mail sturen van "hey! hier een kp site".

die sites zitten toch al vol met mensen van de politie die pedos opsporen. misch heeft de politie ze dan ingehuurd

om ff nog een paar pedos te pakken.

[Reactie gewijzigd door majetta op 23 juli 2024 14:19]

Niemand_Anders

Beveiliging

@majetta • 28 september 2011 17:29

Ik heb ik Amerika een tijdje een cursus forensische informatica gevolgd. Je kunt immers pas iets beveiligen als je de zwakke punten kent.

De KP spam mails verwijzen naar dummy KP sites welke vol staan met banner ads. De inkomsten van de banner ads gaat vaak naar online payment accounts (PayPal is erg populair). Via de payment provider gaat het geld dan vaak naar 'free havens' zoals de kaaiman eilanden.

In het geval van de KP site in de cursus (opgezet op basis van ervaring in de echte wereld) werden op de dummy sites allelei logfiles bijgehouden. Die logfiles werden later dan geanalyseerd en bezoekers welke voldeden aan het profiel kregen steeds meer gerichte KP spam waarmee je geleidelijk in een soort van web-of-trust terrecht komt. Echter als iemand op teveel spam berichten in een tekorte tijd reageerde, wordt zo iemand vaak al snel van de lijst gehaald vanwege verdachte omstandigheden. Immers de meeste KP 'aanhangers' zijn over het algemeen zeer voorzichtig en zullen dus niet zomaar op alles klikken.

En hoewel niemand het wil geloven, maar de kans is zeer groot dat de KP industrie mogelijk nog groter is dan de reguliere porno industrie. Vroeger met BBS was het eenvoudiger om KP aan te pakken, maar internet is wereldwijd en Amerikaanse wetten gelden niet in Nedeland en andersom gelden Nederlandse wetten weer niet in Amerika. Dat maakt het zeer lastig om KP goed (succesvol) aan te pakken.

Verwijderd @majetta • 28 september 2011 16:11

Ik snap ook niet goed hoe dat kinderporno verhaal te duiden. Die sites proberen zich meestal zo stil mogelijk te houden en strooien nu niet bepaald met advertenties in de rondte.

bouvrie @majetta • 28 september 2011 17:21

Zou dit impliceren dat veel mensen geïnteresseerd zijn in kinderporno?

Scams kan ik me voorstellen, inspelen op de behoefte aan zaken als viagra, dure spullen, etc. Maar de clickthrough rate van kinderporno specifiek zou toch veel lager liggen en de moeite niet lonen?

Het lijkt me eerder dat er in het algemeen links naar pornosites werden gespamd, die in enkele gevallen onbedoeld dergelijke inhoud bevatten.

Rotten Mojo 28 september 2011 14:59

Goeie zaak, echter ms ik hier denk ik de link naar wat Microsoft hiermee te maken heeft.

Relief2009 @Rotten Mojo • 28 september 2011 15:00

MS zorgt er persoonlijk voor dat de botnets neergehaald worden? Dit gebeurt in samenwerking met andere bedrijven en de overheid.

Beetje lezen mag ook.

[Reactie gewijzigd door Relief2009 op 23 juli 2024 14:19]

MeNTaL_TO @Relief2009 • 28 september 2011 15:13

Is ook van belang van MS zelf, die leren op deze manier hoe hun servers en pc's ge-exploit worden en kunnen daarvoor fixes maken. Beetje winwin dus, hopelijk worden MS producten veiliger en krijgt de rest minder spam.

Al lijkt me het kinderporno gedeelte er wel erg bijgesleept te worden, ik ontvang redelijk wat spam (helaas) maar nog nooit een kinderpornospam gezien. Klinkt een beetje als:"Wie kan er niet tegen kinderporno zijn" gevalletje.

Relief2009 @MeNTaL_TO • 28 september 2011 15:35

Je wilt niet weten hoeveel er gefilterd wordt in Nederland door ISP' ers.

MeNTaL_TO @Relief2009 • 29 september 2011 08:48

Vast, maar ik gebruik mijn eigen domein zonder filtering.

TheTeek 28 september 2011 14:58

Wat heb je toch een zieke geesten, ik kan me gewoon niet voorstellen dat je een kind zoiets kan aandoen om geld te verdienen. dat je er iets voor voelt is ook niet goed, maar dat zijn individuen met een probleem die geholpen moeten worden.
Dat je bewust kinderen hiertoe aanzet en meeneemt voor je eigen gewin is zo fout, hoe kan een mens toch zo slecht worden/zijn, iedereen heeft toch naasten met kinderen die hem of haar dierbaar zijn.

Goed werk van Microsoft!! aanpakken die handel weg ermee!!

sypie @TheTeek • 28 september 2011 15:29

Zieke geesten zijn een product van de samenleving. Deze samenleving zijn jij en ik en iedereen daar tussenin.

TheTeek @sypie • 28 september 2011 15:47

Nee dat zeker niet, nogal makkelijk om problemen op een ander af te schuiven.
Wij zijn inteligente wezens die zelf beslissingen kunnen nemen en daarvoor de verantwoording dragen, uitzonderingen daargelaten, maar om een probleem af te schuiven op de samenleving is wat te makkelijk.

waarden en normen zijn een product van de samenleving, die zijn in de eeuwen geevolueerd tot wat wij als samenleving goed en slecht vinden, daar zijn onze wetten op gebasseerd.
Individuen die daar anders over denken doen maar wat ze zelf willen zolang ze een ander maar niet tot last zijn, doen ze dat wel zullen ze merken wat de samenleving ervan vind.

edit: Typo

[Reactie gewijzigd door TheTeek op 23 juli 2024 14:19]

tes_shavon 28 september 2011 15:00

Waarom zou je in hemelsnaam kp-mails gaan versturen met een bot-net? Alsof je met rinkelende bellen en neonletters op je vluchtauto een bank hebt overvallen terwijl je zelf aan de politie doorgeeft wat je gps-coordinaten zijn?

of was het een "open" botnet waar iedereen op terecht kon (dan nog!).

Of is dit een standaard reden geworden om als bedrijf in ieder geval (snel) een gerechtelijke uitspraak te krijgen?

Shaggy_NL 28 september 2011 15:09

Erg netjes. Dit is nieteens de tweede keer dit jaar dat Microsoft zo'n tackle verzorgd. Ik lees dit vaker op het Microsoft Security Blog. Nu zijn de spam-filters best netjes tegenwoordig, dus heb ik zelf weinig zicht in hoe het afneemt, maar als je sommige cijfers doorleest van bedrijven met een eigen filter, dan ziet het er best goed uit de laatste tijd.

Microsoft publiceert deze acties. Wie zouden dit nog meer ondernemen? Want er zal toch wel veel meer ondernomen worden door bepaalde instanties?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: