Het gaat om malware welke zich voornamelijk via het MSN Messenger netwerk verspreidt, meestal als
een link naar beach-pictures-packet.PIF. Deze malware, die door Kaspersky Lab als Backdoor.Win32.SdBot.gen gedetecteerd wordt, is een pakket met verschillende kwaadaardige bestanden.
Het hoofdbestanddeel is een IRCBot, een zogenoemde backdoor die commando's van een gebruiker op afstand via een IRC kanaal kan opvolgen. Bij de IRCBot zit een IM-Worm.Win32.Kelvir-variant welke berichten stuurt naar online contactpersonen van MSN Messenger. Dit is nu echter zo gedaan dat de kwaadwillende kan bepalen wat Kelvir zegt. Dit houdt in dat het aanzienlijk minder moeite kost om het bot netwerk in stand te houden en uit te breiden.
Het doel van deze malware lijkt het verdienen van geld te zijn. Er wordt namelijk AdWare op geïnfecteerde systemen geïnstalleerd, iets waar het brein achter deze operatie ongetwijfeld geld voor krijgt. Opvallend zijn Nederlandse verwijzingen in de Bot, dit samen met het feit dat deze malware voornamelijk in Nederland rond gaat kan er op duiden dat de persoon hierachter een Nederlander is.
Kaspersky heeft inmiddels een removal-tool
online gezet.
|