Malware Andromeda deactiveerde Windows-updates

Het Andromeda-netwerk dat door de FBI, Europol en andere opsporingsdiensten offline is gehaald deactiveerde bij besmetting van een computer de Windows-updates. Zo ontvingen een hoop slachtoffers geen Windows updates meer waardoor zij kwetsbaar bleven voor deze en andere aanvallen. Dat heeft Microsoft gemeld.

2011

De malware, die actief is geweest sinds 2011, zou zijn verspreid via verschillende wegen. O.a. USB-sticks, social media en e-mail bijlagen zijn gebruikt om de malware zo veel mogelijk te verspreiden. Bij besmetting probeert deze de Firewall en Windows updates uit te schakelen en worden de verschillende andere soorten malware geïnstalleerd. Denk hierbij aan spambots en ransomware.

Verspreiding

Omdat de malware vele verschillende ingangen gebruikt om aan te vallen en andere malware blijft installeren totdat de infectie wordt verwijderd is het zeer lastig om te bepalen hoe lang het gaat duren om slachtoffers te helpen. Tijdens de opsporingsoperatie werkte Microsoft mee en werden de in beslag genomen domeinen van malware-servers naar Microsoft-servers doorverwezen. Binnen 48 uur werden twee miljoen IP-adressen gedetecteerd die verbinding maakten met de Microsoft servers.

Na het offline halen van het Avalanche-netwerk vorig jaar zijn 55% van de machines die toen besmet waren nog steeds besmet. In het geval van Andromeda zal dit waarschijnlijk ook het geval zijn.

 

Gamarue/Andromeda

India, Turkije en Indonesië

De landen die het hardst zijn getroffen zijn Turkije, India en Indonesië. Zolang de machines daar geinfecteerd blijven zullen deze geen updates ontvangen en daardoor blijven deze risico lopen.

Oplossen

Detecteren of uw computer besmet is kan met verschillende malware scanners die de malware die is vespreid door de botnets herkennen. Een van deze tools is Online Malware Detection van ESET: Online Malware detection