Kategorier
Länkar

Microsoft stoppade gigantiskt botnät genom fjärradering

I oktober förra året tog Microsoft ner ett Tor-baserat botnät som kallades ”Sefnit ”, och som använde Tor-nätverket för att anonymt generera falska klick på annonser men också för att utnyttja botnätet för så kallad ”bitcoin mining”. Sefnit var ett stort nätverk, med över 3 miljoner användare per dag. Sefnit kapade användares datorer för att klicka på annonser som skulle göra Sefnit-användare rika genom provision för dessa klick.

Sefnit upptäcktes förra sommaren, efter att Tor-projektet sett en ökning av Tor-användning med över 600 procent. Den kraftigt ökade trafiken sammanföll med de uppmärksammade avslöjanden om NSA och Prism, vilket gjorde att man initialt misstänkte att detta var anledningen. Men i det här fallet var amerikanska myndigheter helt oskyldiga, och orsaken var alltså Sefnit.

Sefnit spred sig på flera sätt, och fann snabbt sin väg till flera programvaror, till exempel lades den till i en sårbar version av Tor Browser. Det skadliga programmet installerade Tor-klienten i bakgrunden, och även om Sefnit togs bort från den infekterade datorn skulle fortfarande ansluta till Tor-nätverket

Microsoft beslutade sig att ta sig an Tor-programvaran efter att man funnit att några populära applikationer som Browser Protector och File Scout var paketerade med en sårbar version av Tor Browser och Sefnit-komponenter. De infekterade datorerna hade version 0.2.3.25 av Tor Browser, en version som inte uppdateras automatiskt. Eftersom Microsoft inte hade något sätt att enkelt nå de drabbade användarna, beslutade man sig för att ta bort infektionerna på distans.

Den 27 oktober 2013 ändrade Microsoft sin signaturdatabas som används av alla företagets säkerhetsprodukter för att ta bort Sefnit-infekterade Tor-klienter från användarnas datorer. Uppdateringen drevs igenom i novembers ”Patch Tuesday”.

Microsoft uppskattar att man tog in cirka 2 miljoner exemplar av skadlig kod, och det finns ytterligare 2 miljoner datorer att nå. I ett uttalande dementerar Microsoft att man skulle ha vidtagit några andra åtgärder än de som riktats specifikt mot själva infektionen. Man skriver bland annat att ”Microsoft Malware Protection Center (MMPC) skyddar användarna genom att ta bort de tjänster som startas av Sefnit, men utan att avinstallera Tor, ta bort Tor-inställningar, eller hindra användare från att använda Tor.”

Läs vad Microsoft skriver om Sefnit på Technet.