Omvangrijk zombienetwerk rond CoolWebSearch

Het Amerikaanse beveiligingsbedrijf Sunbelt Software, bekend van de CounterSpy software, zegt dat het programma wordt ingezet om online bankrekeningen te plunderen en andere persoonlijke gegevens te vergaren. Sunbelt wist de hand te leggen op een grote hoeveelheid gegevens over bankrekeningen en wachtwoorden die het programma naar een server had gestuurd. Volgens Sunbelt gaat het om een netwerk van zeker vijfhonderd zombie pc’s die elkaar informatie toespelen. Er is ook een bestand aangetroffen van een keylogger, een programma dat toetsenaanslagen kan uitlezen. De FBI is een onderzoek gestart. Zombies, pc’s die gekaapt worden zonder dat gebruikers dat in de gaten hebben, zijn geen nieuw verschijnsel. Maar CWS is een programma dat als het eenmaal is geïnstalleerd nauwelijks meer van de pc is te verwijderen, behalve als de harde schijf wordt gewist. Dat maakt het stukken gevaarlijker. Vermomming Het programma dook voor het eerst op in de zomer van 2003 en viel meteen op door een slimme installatieprocedure. Via een pop-upscherm werd ongemerkt een websjabloon (‘stylesheet’) geïnstalleerd, dat ervoor zorgt dat de startpagina van Internet Explorer wordt gewijzigd. Sommige versies vermommen zich als ‘driver updates’ en in een geval zijn de bestanden van de Windows Media Player vervangen door een trojaans paard dat actief werd zodra men de speler startte. De Nederlandse student Merijn Bellekom heeft ruim een jaar programma’s ontwikkeld om CWS te verwijderen. Dat werd niet door de makers op prijs gesteld. Zijn website werd diverse malen met DDos-aanvallen bestookt. Uiteindelijk gooide Bellekom de handdoek in de ring omdat de nieuwste varianten steeds venijniger werden en een simpel programmaatje het Trojaanse Paard niet wegkrijgt. Het programma is inmiddels via een omweg bij antivirus bedrijf Trend Micro terecht gekomen. De huidige versie verwijdert echter alleen de CWS.Cassandra variant.