McAfee legt Kraken-bot op de snijtafel
Gepubliceerd: Vrijdag 2 mei 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Security-bedrijf McAfee heeft uitgeplozen hoe het botnet Kraken functioneert. Belangrijkste conclusie: de malware stelt alles in het werk om zo onzichtbaar mogelijk te blijven.
Het eerste wat Kraken na installatie op een pc doet, is proberen om driemaal contact te leggen met mx.google.com via poort 25. Waarschijnlijk is dit een test om de netwerk connectivity te checken, zo schrijft Ravi Balupari op het McAfee Avert Labs Blog. Ook vraagt Kraken drie populaire sites op. Het gaat daarbij meestal om nieuwssites, zoals nytimes.com, cnn.com en reuters.com.
Oudere versies van de bot gebruiken vervolgens poort 447 om met andere besmette pc's te communiceren. Kraken verstrekt onder meer informatie over het versienummer, hostname en het gebruikte besturingssysteem aan zijn peers. Vervolgens haalt de (oude) bot een update op bij een andere geïnfecteerde computer. Met behulp van deze update vernieuwt de bot zichzelf.
Volledige geüpdate versies van de bot gebruiken willekeurige poorten om gegevens (over de hostname en dergelijke) te verspreiden. De bot haalt modules van zijn peers binnen. Het gaat daarbij onder meer om spam templates. Alle command & control (c&c) communicatie wordt versleuteld. Detectie van Kraken is mede om die reden erg lastig, stelt McAfee.
Het nieuws over het bestaan van het Kraken-botnet kwam begin april voor veel virusbestrijders als een verrassing. Diverse deskundigen reageerden kritisch op de waarschuwingen van het security-bedrijf Damballa dat het Kraken-botnet twee keer zo groot zou zijn als het Storm-botnet.
Volgens McAfee is Kraken nu gericht op het versturen van spam. Maar het security-bedrijf sluit niet uit dat de beheerders van het botnet de geïnfecteerde pc's later zullen gebruiken voor activiteiten die tot meer schade kunnen leiden. Het zou daarbij bijvoorbeeld kunnen gaan om DDoS-aanvallen.
Bron: Techworld
