Efter Microsofts slag mod botnettene Waledac og Rustock har softwarefirmaet nu fået ramt på et tredje botnet, Kelihos, der også er kendt som Waledac 2.0. Microsoft fortæller i denne blog om "operation b79" hvor man har brugt forskellige juridiske og tekniske virkemidler til at få ramt på botnettet.
Kelihos er ikke helt så stort som de andre botnet. Der er "kun" omkring 42.000 computere i nettet, som blandt andet er blevet brugt til at sende spam.
Microsoft har udpeget en konkret person, Dominique Alexander Piatti, der menes at stå bag botnettet. Han står som ejer af domænet cc.cz, der er brugt til botnettets "command-and-control" servere.
Dette domæne er nu lukket og Kelihos' servere er ikke længere online. Microsoft har også opdateret sit eget Malicious Software Removal Tool, så det nu kan genkende og fjerne Win32/Kelihos.
Ifølge bloggen er cc.cz også blevet brugt til at sprede andre former for malware og scareware, herunder et falsk sikkerhedsprogram til Mac-platformen, MacDefender. Google har tidligere blokeret dette domæne.
Den 22. september fik Microsoft en amerikansk domstol til at udstede en kendelse, der gjorde det muligt at "kappe hovedet" af botnettet ved at afbryde forbindelsen mellem serverne og de enkelte inficerede computere. Microsoft har anvendt de samme metoder, der også blev brugt til at få ram på Waledac og Rustock.
Richard Domingues Boscovich fra Microsoft Digital Crimes Unit skriver i bloggen at sagen afslører et grundlæggende problem med håndteringen af sub-domæner. I øjeblikket er der ingen krav om, at domæne-ejere skal kræve oplysninger om de personer der bruger deres sub-domæner - og det åbner døren for misbrug.
Selv pantelånere i USA skal bede om kundernes navn og adresse, men domæne-ejere kan altså frit uddele sub-domæner uden at registrere, hvem der bruger dem.
Microsoft fortæller at Kelihos var i stand til at sende omkring 3,8 milliarder spam-beskeder om dagen, men softwarefirmaet forventer ikke at lukningen af botnettet får nogen større betydning for spam-niveauet på nettet - i modsætning til aktionerne mod de andre botnet, der gik den globale spam-mængde til at falde midlertidigt.
