Volgens Fox-IT heeft het Dorifel-virus dat de afgelopen twee dagen de dienstverlening bij veel gemeenten heeft platgelegd, een deel van zijn slachtoffers van nieuwe malware voorzien. Volgens Michael Sandee, een van de medewerkers van het bedrijf, is op 100 clients de Hermes botnet gedownload. “We ontvingen een taak voor XDocCrypt (Dorifel, red) dat niet het Citadelvirus downloadde, maar daarentegen de Hermes banking trojan ophaalde", schrijft Sandee in een comment op het Fox-IT-blog.

Geen detectie van Hermesbot door antivirus

Die banking trojan werd geüpload door de server die gebruik maakt van het IP-adres 184.22.103.202. Dat adres is eerder al door Fox-IT genoemd met de aanbeveling dat adres te blokkeren. Volgens de virustestsite VirusTotal is geen van de veertig antivirusprogramma's die het meest gebruikt worden nog in staat de Hermes-trojan te ontdekken.

Volgens Sandee doet de beperkte download op 100 computers vermoeden dat de botnetherder de nieuwe Hermesbot aan het testen is. De bot zou volgens Ronald Prins, de directeur van Fox-IT, niet alleen een banking trojan zijn maar tevens beschikken over DDoS-mogelijkheden en een remote shell.

Test mogelijk voor vorming nieuw botnet

Met de test zou de botnetherder kunnen bekijken of het na de ontdekking van het Citadelbotnet, dat duizenden overheidscomputers als zombies heeft opgenomen, een nieuw botnet zou kunnen opzetten. Dat zou mogelijk ook een verklaring zijn waarom deze week plotseling gekozen is om Dorifel te verspreiden via Citadel. De meeste gemeenten en de provincie Noord-Holland zeggen het Dorifelvirus nu susccesvol bestreden te hebben. Maar het lijkt erop dat het Citadelbotnet nog onaangetast is.

Citadel te koop als open source-platform

Citadel is sinds december te koop als open sourceplatform voor botnets, gebaseerd op Zeus. Citadel lijkt vooral gericht op het stelen van bankinformatie maar heeft de capabiliteit om allerlei vormen van data te stelen. De trojan kan ingezet worden als monitor voor toetsaanslagen, kan rondsnuffelen naar documenten en ook vastleggen wat er op het beeldscherm gebeurt en de video naar de command & control-server sturen.

Het platform is sinds zijn eerste ontdekking in december al verrijkt met AES-versleuteling voor configuratiebestanden, een mogelijkheid om antiviruswebsites te blokkeren op geïnfecteerde computers en het blokken van geautomatiseerde botnetscanners.

Botnet opereert vanuit Oekraïne

Volgens Ronald Prins staat “de centrale computer" van het Citadelbotnet dat in Nederland actief is in de Oekraïne. Hij is voorstander die server te hacken, meldt de NOS. "Fox-IT staat te popelen, maar we kunnen het niet doen zonder toestemming van de politiek", zegt Prins. Hij ziet wel haken en ogen aan een dergelijke operatie. "Tegenstanders waarschuwen dat andere landen ook op servers in ons land zullen ingrijpen en systemen platleggen waarvan wij niet willen dat ze platgelegd worden." Prins pleit voor een politiek debat en internationale afspraken.