Het Citadelbotnet is vannacht weer tot leven gekomen vanuit een nog niet bekend en actief domein. Het botnet heeft zijn communicatie nu veranderd naar een nieuwe server en de bots in het botnet hebben het commando gekregen een nieuwe versie van Hermes te downloaden. Dat zegt Michael Sandee, onderzoeker bij Fox-IT. Sandee wil niet prijsgeven wat de domeinnaam is maar geeft het advies het IP-adres 184.82.116.202 te blokkeren.

De C&C-server van het Dorifelvirus, dat de verspreiding van Citadel moest versnellen, was vrijdag neergehaald waarna er geen nieuwe virusverspreiding meer mogelijk was via dat kanaal. Geïnfecteerde machines blijven niettemin kwetsbaar voor nieuwe infecties van nieuwe malware.

Negen nieuwe C&C-servers

Dat lijkt nu het geval. Volgens Sandee heeft de nieuwe versie van de malware die een nieuw botnet, Hermes, probeert te vormen de URL's van negen nieuwe Command & Control-servers ingebouwd, “met alle een ander topleveldomein, namelijk .name, .com, .net, .org, .pro, .ru, .in, .cc en .vn." Volgens Sandee wordt de nieuwe Hermes niet herkend door 38 van de 40 meest gangbare anti-virusproducten, terwijl CAT-Quickheal en McAfee het matchen met de trojan Suspicious. Sandee zegt dat het toch echt om Hermes gaat.

Het aantal bots dat het commando heeft gekregen om Hermes te downloaden, is onbekend, zegt Fox-IT. De vorige keer dat het bedrijf activiteit van Hermes ontdekte binnen het Citadel-botnet, was afgelopen donderdag. Toen ging het om een beperkte download naar 100 machines, iets dat door Fox-IT werd gezien als een mogelijke test voor verdere verspreiding werkelijk zou aanvangen. Of dit het vervolg is, is nog niet te zeggen.