Bot-fighterne Damballa meldte forleden ud, at de havde opdaget og på det nærmeste kortlagt verdens største bot-netværk, som de døbte 'Kraken' efter det mytologiske søuhyre.
Sikkerheds- og virusanalytiker Peter Kruse fra det danske it-sikkerhedsfirma CSISvar blandt de første til, at så tvivl om nyhedsværdien i Kraken.
Han mente, som flere andre, at der var tale om den klassiske trojaner Bobax, der havde fået en ansigtsløftning. 'Kraken' er ganske vist mere avanceret end Bobax - blandt andet er kontrol-trafikken nu krypteret - men så meget af koden fra Bobax går igen, at det er mere end sandsynligt, at det enten er de samme personer, der står bag, eller også har de videregivet koden til andre.
I hvert fald er Kraken ikke lige sådan dukket op af ingenting...
Nu melder også analytikere ved sikkerhedsfirmaerne F-Secure og TrustedSource ud, at Kraken trojaneren har været omkring længe.
Samtidig såes der tvivl om størrelsen på netværket. Damballa skulle angiveligt have hijacked nogle af Krakens domænenavne, hvorfra de har brugt såkaldte "DNS Resource Records" til at tælle inficerede maskiner.
F-Secure har gravet lidt i overfladen og fundet frem til, at et af de værtsnavne Kraken angiveligt benytter, rent faktisk knytter sig til en IP-adresse, som tilhører GIT (Georgia Institute of Technology). Hvor Damballa sjovt nok residerer.
De første varianter af Kraken/Bobax/Oderroor/Agent/m.m. blev først set i sommeren 2006, så det er sandsynligt, at statistikkerne fra ovennævnte DNS-'fælde' inkluderer tal fra de ældre, nu ikke længere fungerende, varianter af 'Kraken', og at antallet af inficerede maskiner derfor ikke stemmer overens med virkeligheden.
Under alle omstændigheder har Damballa fået en masse PR på deres 'opdagelse', men måske kommer det til at give bagslag, hvis det viser sig, at de var for hurtigt ude med deres advarsel.
Måske er det hypen omkring 'Kraken', der har fået folkene bag super-bot-netværket Storm, som da det var størst talte over en million inficerede maskiner, til at vågne op til (u)dåd igen.
Cyber-banditterne har netop indledt en decideret kampagne, der skal indfange nye zombier til det i forvejen veletablerede Storm-netværk.
De spammer og foretager sideløbende splogging, hvor de lokker uforsigtige brugere til farlige drive-by sider, hvorfra der forsøges kørt multiple exploits rettet mod Internet Explorer og populære tredjepartsprogrammer.
Premium
Devoteam Danmark lander sit første underskud i 21 år: Moderselskab tvinges til at give økonomisk støtte