Microsoft haalt botnet neer van pre-installed malware

Microsoft heeft een botnet ontmanteld dat zich had gevormd via voorge´nstalleerde malware in illegale versies van Windows op pc's die via (internet)winkels werd verkocht.

Het Nitol-botnet blijkt grotendeels te zijn opgebouwd door criminelen die wisten te infiltreren in de productieketen van pc's die verkocht werden via winkels of handelaren. Daardoor konden computers worden voorzien van gepirate Windows-versies waarin de malware al was ingebed. Via het zo genoemde Operation b70 heeft Microsoft die aanvoerlijnen doorsneden, schrijft het bedrijf op zijn blog.

Microsoft liet onderzoekers eerst computers kopen vanuit die ontdekte onveilige toevoerlijnen in China en kwam er zo achter dat 20 procent van de pc's was besmet met malware. Die malware zocht naar verspreiding via onder meer usb-drives en kwam daardoor vaak ook terecht op pc's van vrienden, familie en collega's door het delen van bestanden.

Meer dan 70.000 subdomains
Verder onderzoek (PDF) toonde aan dat het botnet dat zo werd gevormd gelinkt was met het domein 3322.org, dat al sinds 2008 actief is. Naast 3322.org werden meer dan 70.000 (sub)domains gebruikt om in totaal 500 variaties van malware te hosten. Microsoft vond malware om microfoons en camera's van afstand aan te zetten, een keylogger, DDoS-tools en backdoors.

Via een juridische procedure bij de rechtbank van de Eastern District of Virginia, ingediend via partner en beveiligingsbedrijf Nominum, kreeg Microsoft een ex-parte bevel tegen ene Peng Yong en zijn bedrijf om het 3322-domein over te nemen via een nieuw opgezet DNS. Zo kon Microsoft het functioneren van het botnet blokkeren, samen met de andere 70.000 domeinen die eraan hingen.

Infecties vooral in China en US
Volgens Microsoft doen de infecties zich wereldwijd voor, met felle brandpunten in bepaalde Chinese stedelijke gebieden aan de kust. Ook de Amerikaanse westkust en enkele staten in de Midwest zijn flink besmet. De meeste besmettingen zijn veroorzaakt door de malwaretypes Hupigon en Zegost.

Volgens Microsoft is het alarmerend dat de illegale software met de malware "op elk moment de toeleveringsketen heeft binnen kunnen komen" in de tijd dat de bedrijven in die keten zorgen voor transport en wederverkoop. De klant merkt er bijna niets van dat ze zulke hardware kopen, behalve dan als "het aanbod te mooi is om waar te zijn", zegt Microsoft.