Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/4/2009
Forklaringen på, at et nyopdaget botnet rummer 1,9 millioner pc'er, kan være, at det samler data fra flere uafhængige botnet.Sikkerhedsfirmaet Finjan offentliggjorde for et par dage siden data om et botnet, der øjensynlig er rekordstort: Over 1,9 millioner pc'er skulle bagmændene kunne fjernstyre. De hidtil største botnet har ligget på omkring en halv million pc'er.
Analytiker Atif Mushtaq fra sikkerhedsfirmaet FireEye skriver i sin blog et bud på en forklaring: Det kan være, at den server, som Finjan har fundet, giver adgang til at styre pc'er, som deltager i forskellige botnet.
Han kalder begrebet et botnetweb. Det er en samling af heterogene botnet, der drives i fællesskab og som styres af en eller flere tæt forbundne grupper af forbrydere.
Atif Mushtaq har fundet fællestræk mellem en række forskellige botnet-programmer. For eksempel er programmerne Virut, Zbot, Waledac og Vundo alle i familie med hinanden: De indgår i det samme botnetweb.
Hvis det er tilfældet, behøver tallene fra Finjans opdagelse ikke at vise, at 1,9 millioner pc'er indgår i et botnet. I stedet er det muligt, at de indgår i forskellige botnet, som kendes i forvejen.
Det kan først afklares, hvis der kommer yderligere data fra Finjan om emnet. Men Atif Mushtaq har fundet tegn på, at der er tale om et botnetweb: Botnetprogrammet HexZone, som Finjan har fundet henvisninger til, anvender den samme centrale styringsserver som programmet Trojan.Ransomlock.