- Door
- Edwin Feldmann
- geplaatst op
- 18 augustus 2010 08:05 uur
Waarom zou je als hacker zelf een botnet willen vormen via individuele gebruikers als het veel gemakkelijker en effectiever kan door een hostingbedrijf te infecteren met malware? Dat lijkt de Amerikaanse hostingprovider Network Solutions te zijn overkomen.
De hoster erkende maandag dat er kwaadaardige code verstopt heeft gezeten in de widget die het bedrijf aanbood op zijn weblog voor kleine bedrijven, growsmartbusiness.com. Volgens beveiligingsbedrijf Armorize heeft Network Solutions hierdoor tussen de 500.000 en vijf miljoen websites gehost die malware verspreidden.
Niet alleen werd de widget met kwaadaardige code aangeboden op het Growsmartbusiness.com-blog. Ook werd de widget geïnstalleerd op alle geparkeerde domeinen. Volgens Wayne Huang, oprichter en technisch directeur van Armorize Technologies, is het de grootste besmettingshaard die hij heeft meegemaakt.
Schattingen
Network Solutions laat in een reactie weten dat de genoemde aantallen van besmette sites niet geloofwaardig zijn. Hoeveel websites bij Network Solutions wel de malware hebben verspreid, wil of kan het bedrijf niet zeggen. Network Solutions host ruim zeven miljoen geregistreerde domeinnamen en circa 350.000 websites.
Huang baseert zijn schattingen op zoekacties met meerdere zoekmachines. “Zoekmachines zijn doorgaans niet heel goed in het indexeren van geparkeerde domeinen. Het aantal daadwerkelijk geïnfecteerde domeinen ligt daarom nog hoger dan wat bij Yahoo en andere zoekmachines te vinden is”, zo stelt hij tegenover Computerworld. Volgens Huang zit het getal van vijf miljoen geïnfecteerde domeinen het dichtste bij de waarheid.
Trojaans paard
Door de widget werden domeinen geïnfecteerd waarbij de Nuke-toolkit werd geïnstalleerd bij bezoekers die gebruikmaken van Internet Explorer, Firefox, Chrome of Opera. Als de browser succesvol was gehackt, werd een Trojaans paard binnengehaald, werden zoekopdrachten omgeleid en werden pop-upadvertenties getoond.
De hackers die achter de kwaadaardige code zitten, verdienen vermoedelijk hun geld met het lanceren van advertenties op geïnfecteerde Windows-pc’s en door de malware verder te verspreiden via p2p-systemen binnen het netwerk.
Network Solutions heeft inmiddels de kwaadaardige widget verwijderd en ook de site Growsmartbusiness offline gehaald. Toch zouden er nog zo’n 5700 websites te vinden zijn waarop de widget is te vinden, denkt Huang.