Volgens het FireEye Malware Intelligence Lab gaat het met name om twee domeinen, upload-good.net en lodfewpleaser.com. Atif Mushtag van FireEye zegt dat het gevaar vooral komt van upload-good.net, omdat die door de meeste antivirusscanners niet wordt herkend als bron van kwaadaardig verkeer. Alleen AntiVir geeft een melding, 41 andere pakketten slaan geen alarm.

Bots krijgen nieuwe opdrachten

Bredolab is via upload-good.com bezig zijn zombies te instrueren dat ze het nepantiviruspakket Antivirusplus moeten downloaden. Upload-good.net zou dat doen vanaf een ip-adres in Kazakhstan, zegt FireEye. Ook het domein lodfewpleaser.com is volgens Mushtag volledig actief en geeft zijn bots de opdracht spam te versturen. Dat domein werkt vanaf een ip-adres in Rusland.

Het derde domein, proobizz.cc, is inmiddels gestopt met het geven van commando’s aan zijn bots, zegt Mushtag. Volgens hem zijn de botherders van deze domeinen vrijwel zeker andere cybercriminelen dan de Armeniër die deze week door de politie is aangehouden.

Die man is opgepakt vanwege zijn betrokkenheid bij de in Haarlem aangetroffen en uitgeschakelde c&c-server ds.meethomes.com. De machines van dat bot-aansturende domein zijn nu in handen van de Nederlandse politie. De expert van FireEye vermoedt dat de Bredolab-code op een of andere manier in handen is gekomen van een andere bende.

100.000 slachtoffers gewaarschuwd

Bredolab zou over de hele wereld bijna 30 miljoen computers hebben besmet. Zo'n 100.000 gedupeerden zijn volgens de politie nu bereikt met een waarschuwing van de Nederlandse politie.

Die heeft daarvoor een programmaatje op hun computer geïnstalleerd die de gebruiker vervolgens leidt naar een webpagina met een waarschuwing. Dit actieve indringen in andermans computers heeft veel stof doen opwaaien. Juristen en beveiligingsexperts zetten vraagtekens bij de wettelijke onderbouwing van deze vorm van digitale opsporing.