ZeroAccess-botherders verlaten het netwerk voor klikfraude

Microsoft claimt een totale overwinning - althans voor deze ronde - op de ZeroAccess-botherders wiens criminele netwerk het doelwit was van een gezamenlijke inspanning van Microsoft, de FBI, Europol en een groep veiligheidsleveranciers.

"Ik ben verheugd te kunnen melden dat onze verstoringsinspanningen zijn geslaagd en het lijkt erop dat de criminelen hun botnet hebben verlaten", schrijft Richard Boscovich, assistent-generaal van de Digital Crimes Unit van Microsoft, in de officiële Microsoft-blog.

+ Ook op Network World: 'ZeroAccess' botnet voor klikfraude verstoord, maar nog niet dood | Microsoft: Geen vervanging van Ballmer tot volgend jaar +

Botherders signaleerden letterlijk hun verlating met een witte vlag. Een deel van een bericht dat naar geïnfecteerde computers werd gestuurd, was "WHITEFLAG", "wat volgens ons symboliseert dat de criminelen hebben besloten de controle over het botnet op te geven", schrijft Boscovich. "Sinds die tijd hebben we geen extra pogingen van de bot-herders gezien om nieuwe code vrij te geven en als gevolg daarvan wordt het botnet momenteel niet meer gebruikt om fraude te plegen."

Het bedrijf heeft ook zijn civiele procedure tegen de criminelen (vermeld als John Does in gerechtelijke documenten) ingetrokken om wetshandhavers de vrije hand te geven om hen te vervolgen, schrijft Boscovich..

De bot-herders ertoe brengen om weg te lopen van hun netwerk maakte twee weken geleden geen deel uit van het plan toen de verwijdering werd uitgevoerd door middel van een gerechtelijk bevel dat Microsoft in staat stelde de controle over de domeinnamen die aan het botnet waren gekoppeld over te nemen en het commando en het verkeer te blokkeren op geïnfecteerde computers. Europol heeft soortgelijke acties ondernomen in vijf Europese landen.

Ten tijde van de verwijdering zei Microsoft: "Microsoft en zijn partners verwachten vanwege de complexiteit van de bedreiging niet het ZeroAccess-botnet volledig te elimineren. Microsoft verwacht echter dat deze actie de werking van het botnet aanzienlijk zal verstoren. ”

Boscovich zegt dat de botherders binnen 24 uur na de verstoring nieuwe instructies naar geïnfecteerde computers hebben gestuurd, zodat ze hun illegale werk konden voortzetten, maar die berichten werden herleid tot hun bron-IP-adressen, die vervolgens werden afgesloten. De laatste berichten die naar de zombiemachines werden gestuurd, bevatten het woord WHITEFLAG, zegt hij.

Microsoft zegt dat ZeroAccess, ook bekend als Sirefef, beveiligingssoftware uitschakelt die mogelijk wordt uitgevoerd op computers van slachtoffers, waardoor het moeilijk is om er vanaf te komen. Microsoft biedt hier hulp.

Tim Greene behandelt Microsoft en Unified Communications voor Network World en schrijft de Mostly Microsoft-blog. Bereik hem op [email protected] en volg hem op Twitter @ Tim_Greene.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.