Proxydienst blijkt grote malwareverspreider

Een op het oog betrouwbare aanbieder van proxydiensten blijkt honderdduizenden gebruikers te hebben ge´nfecteerd met een Trojaans Paard, dat de getroffen pc's opnam in een botnet.

Symantec zegt achter een zeer omvangrijke black- hat-operatie te zijn gekomen bij een onderzoek naar een Russische aanvaller die via de malware Backdoor.Proxybox honderdduizenden pc's had besmet. De informatie zou volgens het bedrijf helemaal kunnen leiden tot de schrijver van de malware. De backdoor trojan werd gefaciliteerd via proxyservers die aangeboden werden door de dienst Proxybox, waar gebruikers tegen betaling van 40 dollar per maand uit duizenden proxy's konden kiezen.

Symantec zegt aan het onderzoek te zijn begonnen via het reverse engineren van de Backdoor.Proxybox malware die voor het eerst twee jaar geleden opdook en in de laatste maanden plots een flinke toename aan activiteit vertoonde. De analyse toonde aan dat de malware bestond uit drie componenten, een dropper, een payload en een rootkit. De dropper installeert de payload, dat weer de rootkit installeert.

Nieuwe verbergmethode
De rootkit verbergt de kwaadaardige bestanden en blijkt verder een nieuwe methode te hanteren om ontdekking te voorkomen. De payload is een dll en wordt actief als de computer wordt opgestart. Vervolgens wordt contact gemaakt met het botnet.

De botnetherder zorgde ervoor dat het botnet altijd zo'n 40.000 gebruikers actief had binnen het netwerk; de andere besmette computers werden dan buitengesloten. Ontdekking van de servers werd moeilijk gemaakt door gebruik van de Blackhole epxloit kit, dat verder zorgde voor grotere verspreiding van de malware. Blackhole zorgt ervoor dat het de url van de server constant wijzigt, zodat de exploit steeds van een ander domein wordt gevoed.

Toegang en gebruik van het botnet werd actief verkocht op diverse Russische fora. Daarnaast konden verbanden worden gelegd tussen de proxyverkoper en enkele andere websites, zoals eentje die VPN-diensten aanbood (vpnlab.ru), eentje die online viruschecks zegt te doen (avcheck.ru) en een andere proxydienst (whoer.ru).

Via betaaldiensten naar de aanvaller
De vier websites adverteerden eveneens bij elkaar en hadden gebruikersondersteuning via hetzelfde ICQ-nummer. Omdat zij eveneens alle dezelfde betaaldiensten hanteerden, kon Symantec dat herleiden naar iemand met "een Oekra´ense naam die verblijft in Rusland."

Symantec zegt de C&C-servers te hebben gelokaliseerd en werkt samen met opsporingsdiensten in de landen waar die C&C-servers staan. Symantec wil daar verder geen details over geven.