Een botnet waarmee doorgaans geld van online bankrekeningen wordt ontvreemd, verspreidt nu een virusscanner van Avira. Het bewuste botnet is het Dridex-botnet, waar de FBI en Europol vorig jaar nog jacht op maakten. Dit heeft het Duitse antivirusbedrijf Avira laten weten.
Avira denkt dat een distributiekanaal van Dridex is aangevallen. Er wordt echter geen malware maar een cleane versie van Avira Antivirus op het systeem gezet.
Avira-webinstaller
Hoe gaat dit in zijn werk? De malware vermenigvuldigt zich met name via malafide macro’s in Office-documenten. Wanneer gebruikers de macro inschakelen, wordt kwaadaardige software op de computer gezet en – wat blijkt – vervolgens wordt de Avira-webinstaller gedownload!
White hat hacker
Gebruikers worden uiteindelijk dus niet besmet maar krijgen een virusscanner. Malware-expert Moritz Kroll zegt hierover: “We weten nog steeds niet wie hierachter zit en waarom, maar we hebben een aantal theorieën”. De meest waarschijnlijke theorie is dat een white hat hacker erachter zit. Deze hacker zou dezelfde kwetsbaarheden hebben aangewend als de Dridex-auteurs om servers te hacken en er malware op te zetten. Daarna zou de hacker de malware hebben verruild met Avira’s webinstaller, aldus Moritz Kroll.