Botnet Kelihos był wykorzystywany do rozsyłania wiadomości spamowych, kradzieży poufnych danych, przeprowadzania zmasowanych ataków DDoS oraz wielu innych działań cyberprzestępczych. Eksperci szacują, że składał się z ponad 61 tys. zarażonych komputerów (co akurat nie jest dużo, bo – na przykład – niesławny robak Conficker zdołał zainfekować co najmniej 6,5 mln maszyn, a do wyłączonego na początku 2010 r. botnetu Mariposa należało 13 mln komputerów-zombie).

Microsoft podjął działania prawne przeciwko 24 osobom zaangażowanym w tworzenie infrastruktury botnetu, co pozwoliło na zamknięcie domen wykorzystywanych do jego kontrolowania. Pozew obejmował informacje wykryte i rozpracowane przez ekspertów z Kaspersky Lab oraz oświadczenie firmy Kyrus Tech zawierające dowody dotyczące botnetu.

Czytaj także: Duże botnety są niemal niezniszczalne

Specjaliści z Kaspersky Lab rozpoczęli współpracę z Microsoftem na początku 2011 r. Udostępnili wówczas opracowany przez siebie system pozwalający na monitorowanie aktywności botnetu w czasie rzeczywistym. Dokonali też szczegółowej analizy kodu użytego do stworzenia sieci zainfekowanych komputerów, złamali protokół komunikacyjny wykorzystywany przez cyberprzestępców, wykryli słabe punkty w infrastrukturze botnetu i stworzyli narzędzia pozwalające na zlikwidowanie zagrożenia.

– Od 26 września 2011 r., kiedy uruchomiliśmy procedurę wyłączenia botnetu Kelihos, cyberprzestępcy utracili możliwość korzystania z tej sieci zainfekowanych komputerów – mówi Tillmann Werner, starszy analityk zagrożeń z Kaspersky Lab. – Dzięki temu, że nasz specjalny system został włączony do botnetu, możemy teraz na bieżąco śledzić infekcje w poszczególnych krajach. Dotychczas wykryliśmy ponad 61 tysięcy zainfekowanych maszyn i pracujemy z dostawcami usług internetowych, by całkowicie wyeliminować zagrożenie spowodowane przez Kelihosa.

Czytaj także: Ochrona prywatności przeszkadza w zwalczaniu botnetów?

Kelihos/Hlux to sieć zainfekowanych plików działająca na zasadzie P2P (podobnie jak popularne platformy torrent do współdzielenia zasobów w internecie). Składa się z wielu warstw zarażonych komputerów: kontrolerów, routerów i stacji roboczych. Kontrolery to maszyny obsługiwane przez cyberprzestępców odpowiedzialnych za stworzenie botnetu. Ich zadaniem jest przesyłanie poleceń do szkodliwych programów działających na zainfekowanych maszynach i nadzorowanie dynamicznej struktury sieci. Routery to zarażone komputery posiadające publiczne adresy IP. Pozwalają na wysyłanie spamu, gromadzenie adresów e-mail, podsłuchiwanie pracy użytkowników itd.