Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Onderzoekers hebben een server gebruikt door een bekende 'usb-worm' weten te 'sinkholen', waarna ze 2,5 miljoen unieke ip-adressen verbinding zagen maken. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Eén van de varianten verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt allerlei bestanden van het systeem.

Met deze variant besmette machines maken geregeld verbinding met een command & control-server, bijvoorbeeld voor het downloaden van nieuwe malware. Al deze machines blijken verbinding met één specifiek ip-adres te maken. Onderzoekers van securitybedrijf Sekoia wisten vorig jaar september dit ip-adres in handen te krijgen. Op deze manier wisten ze het botnet te 'sinkholen'. Hierbij wordt verkeer afkomstig van een besmette machine doorgestuurd naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren.

De afgelopen zes maanden zagen de onderzoekers elke dag 90.000 tot 100.000 unieke ip-adressen requests naar het command & control ip-adres versturen die specifiek zijn voor met PlugX besmette machines. Over een periode van zes maanden gaat het om 2,5 miljoen unieke ip-adressen, waarbij er nog steeds nieuwe infecties plaatsvinden. De onderzoekers merken op dat het totaal aantal besmette machines onbekend is.

Veel besmette machines kunnen namelijk een zelfde ip-adres hebben. Daarnaast zijn er veel internetgebruikers met een dynamisch ip-adres, waardoor een besmette machine gedurende een bepaalde periode meerdere ip-adressen kan hebben. De onderzoekers zagen wel dat vijftien landen bij elkaar voor meer dan tachtig procent van de infecties verantwoordelijk zijn. Het gaat vooral om Nigeria, India, China, Iran en Indonesië.

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.