Al vrij snel na het uitschakelen van het Kelihos-botnet zag Kaspersky nieuwe versies voorbijkomen. Volgens onderzoeker Maria Garnaeva van Kaspersky gebruikt de nieuwe versie van het botnet een andere encryptie, maar stuurt het nog steeds de oude bots aan. In een analyse beschrijft Garnaeva de problemen bij het uitschakelen van het botnet.

Volgens de onderzoekster is het onmogelijk een botnet uit te schakelen door alleen de command and control-servers (C&C-servers) van het botnet over te nemen. Het liefst zou ze zien dat er de mogelijkheid is terug te hacken om zo de bots onschadelijk te maken.

“Het is onmogelijk een botnet te neutraliseren door alleen de macht over de beheerservers over te nemen of de lijst van bots te gebruiken zonder aanvullende acties", schrijft Garnaeva. “De eigenaar van het botnet kan een lijst hebben met ip-adressen van actieve bots, ze direct benaderen en een update voor de bot doorzetten."

Microsoft onderzoekt de zaak

Microsoft en Kaspersky haalden het Kelihos-botnet in september offline. Het eigen digitale rechercheteam van de softwareproducent werkte samen met de beveiligingsonderzoekers om het netwerk offline te krijgen. Microsoft kreeg het beheer over de subdomeinen die gebruikt werden door de beheerders om zo de spam die het botnet elke dag uitspuugde te stoppen.

In reactie op de analyse van Kaspersky laat Microsoft weten dat het de zaak onderzoekt. “Microsoft werkt samen met Kaspersky om deze zaak te onderzoeken. We komen met meer informatie als we die hebben", staat in een verklaring van Richard Boscovich, van Microsoft's Digital Crimes Unit aan Webwereld.

Waledac 2.0

Boscovich wijst er verder op dat Kelihos eerst een nieuwe versie leek van het Waledac-botnet, dat in 2010 offline werd gehaald door Microsoft. De malware bleek uiteindelijk niet 'Waledac 2.0' te zijn, maar een geheel nieuw botnet: Kelihos. “We weten niet of dat hier ook het geval is, daar speculeren we niet over tot we meer weten. Microsoft blijft deze botnet-zaken volgen en doet zijn best de daders ter verantwoording te roepen", voegt Boscovich er nog aan toe.