De kans is groot dat het Rustock-botnet op woensdag 16 maart een beslissende klap is uitgedeeld. Dat zegt botnet-expert Michel van Eeten. Niet alleen zijn de commando- en controleservers uitgeschakeld, daarnaast heeft Microsoft er ook voor gezorgd dat bots niet via andere wegen instructies kunnen ontvangen.
'Ik vind het heel mooi om te zien hoe Microsoft een heel scala aan maatregelen heeft gebruikt om Rustock op te rollen. Dat maakt het plausibelerer dat het botnet ook daadwerkelijk wordt opgerold', aldus Van Eeten. Hij is hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. Van Eeten onderzoekt in opdracht van het Ministerie van Economische Zaken de botnetbesmetting per provider.
Beslissende klap
Over het oprollen van het Bredolab-botnet in oktober 2010 was Van Eeten minder positief. Dat kwam volgens hem doordat de Nederlandse politie het botnet niet werkelijk had uitgeschakeld, maar 'slechts een specifiek onderdeel ervan: de commando- en controleservers. Het is net als het arresteren van een drugsdealer. Als je de infrastructuur niet succesvol aanpakt, wordt hij gewoon vervangen door een nieuwe', zei hij toen.
Die kanttekening staat nog steeds, zegt Van Eeten nu. Toch is hij onder de indruk van de manier waarop Microsoft het Rustock-botnet heeft aangepakt. Er zijn er volgens hem een aantal factoren die maken dat Microsoft de kans aanzienlijk heeft vergroot dat het Rustock-botnet daadwerkelijk een beslissende klap is uitgedeeld.
Op korte termijn wordt die analyse in ieder geval bevestigd: Symantec zag een terugval in het wereldwijde spamvolume van 12 procent de dag nadat Rustock was neergehaald. Antivirusbedrijf Trend Micro zag dat de spamactiviteit veroorzaakt door Rustock rond dezelfde periode met 95 procent afnam.
Geïnfecteerde machines opgeschoond
Niet alleen wordt het bestrijden van de malware op geïnfecteerde machines door Microsoft voortvarend aangepakt, daarnaast is Microsoft zo slim geweest een aantal ontsnappingsroutes te blokkeren. Zo heeft Microsoft preventief beslag laten leggen op 1500 domeinnamen, om te voorkomen dat bots hiervandaan instructies kunnen ontvangen.
Tot slot is de juridische aanpak van Microsoft in het geval van Rustock innovatief, aldus Van Eeten: 'Het is Microsoft gelukt om een als marktpartij via de rechter af te dwingen dat servers in beslag werden genomen zonder dat de eigenaar daarvan vooraf op de hoogte is gesteld.'
Achtergrondartikel Rustock
Lees het achtergrondartikel over de manier waarop Microsoft Rustock uit de lucht haalde.
