Volgens beveiligingsonderzoeker Roman Huessy verzendt Kelihos op dit moment dagelijks spam via 100.000 tot 150.000 unieke IP-adressen. De bende achter het botnet heeft gaandeweg dit jaar zijn tactiek op een aantal punten aangepast, waardoor het nog succesvoller is geworden in de besmetting in ongepatchte Windows-computers.

Nu via Stuxnet-gat

Zo wordt nu gebruik gemaakt van draagbare media zoals usb-sticks om de besmetting te verspreiden en wordt gebruik gemaakt van het beruchte gat in Windows CVE-2010-2568, hetzelfde gat dat voor het eerst gebruikt werd door Stuxnet en later door veel andere malware.

Daarnaast zijn de criminelen achter het botnet veranderd van tactiek in domeinnamen. Eerder werd gebruik gemaakt van .eu-TLD's maar nu wordt vrijwel alleen gebruik gemaakt van de Russische TLD .ru. Huessy publiceert een flinke lijst aan nu bekende ,ru-domeinen die gelinkt staan aan Kelihos.

Nog steeds registrar op Bahama's

Opvallend is wel, zegt Huessy, dat de bende nog steeds onbelemmerd gebruik kan maken van de registratiediensten van Internet.bs, de registrar op de Bahama's die zorgt voor de nameserver domeinen. Verder gebruiken de criminelen de Russische registrar Reggi.ru. De werkwijze van de bende zorgt ervoor dat het neerhalen van het botnet een moeilijke zaak is.

Ten eerste gebruiken de bendeleden nog steeds peer-to-peercommunicatie met de bots, waardoor er geen centrale infrastructuur is om neer te halen. Ten tweede gebruiken de domeinnamen het zogeheten double FastFlux. Meerdere nodes in het netwerk registreren hun adressen en schrijven die zelf uit in de DNS Name Serverlijst voor de DNS-zone.

Kelihos onuitroeibaar

De eerste versie van Kelihos werd een jaar geleden neergehaald door Microsoft, dat toen voor de derde keer victorie claimde van zijn eigen digitale rechercheafdeling in de strijd tegen botnets, na Waledac en Rustock. Maar al snel bleek dat Microsoft te vroeg de slingers had opgehangen.

In het begin van dit jaar werd duidelijk dat Kelihos aan een wederopstanding bezig was, zij het in iets gewijzigde vorm. Microsoft verdedigde zich door te stellen dat het niet het oude botnet was, maar een compleet nieuwe, Kelihos-B. Was het eerste botnet nog 41.000 computers groot, nu gaat het om honderdduizenden besmettingen.