<img src="http://upload.userbase.be/upload/080408_kraken_kl.jpg" align="left" width="120" height="99">Storm Worm-botnet is niets vergeleken bij Kraken. Op de beveiligingsconferentie RSA 2008 in San Francisco is verontrustend nieuws opgedoken over een zombienetwerk dat twee keer zo groot is als het Storm Worm-botnet. Het netwerk heet Kraken - als het legendarische octopusachtige zeemonster. Het heeft al een leger van vierhonderdduizend gecorrumpeerde machines verzameld. Dat heeft het in botnets gespecialiseerde IT-beveiligingsbedrijf Damballa bekendgemaakt.
Het lijkt erop dat Kraken een rookgordijn opwerpt met een combinatie van verdoezelingtechnieken. Het ververst bijvoorbeeld zijn binaire code regelmatig en structureert de code zó dat het statistische analyses in de weg staat. Op deze manier blijft het netwerk onopgemerkt door zo'n tachtig procent van de computers die antivirussoftware draaien. "Het lijkt erop dat de makers goed snappen hoe antivirustools werken en hoe ze deze kunnen ontwijken", aldus hoofdonderzoeker Paul Royal volgens securitynieuwssite Dark Reading. Geïnfecteerde computers zijn zelfs gesignaleerd bij minstens vijftig bedrijven uit de Fortune 500.
Gebruikelijke spam
Net als het Storm-botnet wordt Kraken tot dusver vooral gebruikt voor het sturen van de gebruikelijke spammails over bijvoorbeeld gokken, Viagra, valse horloges en leningen. Maar er is geen reden waarom het netwerkhet zijn binaire code niet zou kunnen updaten om andere dingen te doen, meent Royal. "Ik vraag me af waar dit heen gaat."
Hij voorspelt dat Kraken, zelfs nu het bestaan ervan bekend is, in ieder geval nog groeit tot ten minste zeshonderdduizend dagelijkse zombiecomputers medio deze maand. De Kraken-bots zijn overigens zeer actief: Damballa heeft exemplaren gezien die op één dag een half miljoen spammails uitstuurden.
Beeldbestand
Het is nog niet precies duidelijk hoe machines geïnfecteerd raken. Royal denkt dat de Kraken-malware zich bij de gebruiker aandient als een beeldbestand. De werkelijke extensie (.exe) blijft verborgen. Wanneer de gebruiker het bestand opent, wordt de malware op zijn systeem geladen.
Damballa kreeg Kraken eind vorig jaar voor het eerst in de smiezen, maar vroege varianten van het botnet doken eind 2006 al op. De belangrijkste command & control-servers van het net worden gehost in Frankrijk, Rusland en de Verenigde Staten, denkt het bedrijf.
Bron: ZDNet.be 8 april 2008
