ZeroAccess is zoals de meeste botnets een flexibel netwerk dat via p2p plugins downloadt om nieuwe taken uit te voeren. Beveiligingsbedrijf Sophos meldt dat een van deze plug-ins wordt gebruikt om Bitcoins te delven.

Lucratief botnet

Het aanmaken van Bitcoin-hashes kost tijd en rekenkracht. Sommige gebruikers worden lid van een mining-pool, waarbij een groep computers Bitcoins delft en de opbrengst wordt verdeeld over de gebruikers. Via het ZeroAccess-botnet wordt hetzelfde gedaan, alleen gaan de gedolven Bitcoins naar de botnetbeheerder.

Een deel van de pc's die zijn besmet met de rootkit zijn in de afgelopen tijd weer opgeschoond. Sophos berekent (PDF) dat er nog ongeveer 1 miljoen computers besmet zijn met ZeroAccess. Met de huidige koers zouden de potentiële 2.480.000 Mhashes zo'n 2,7 miljoen dollar aan Bitcoins opleveren.

Sophos houdt wel een slag om de arm over het eindbedrag, omdat een aantal waarden in de berekeningen schattingen zijn en de gebruikte pool regelmatig wordt geblokkeerd. Maar wel duidelijk is dat het gebruik van een botnet om Bitcoins te delven een lucratieve aangelegenheid kan zijn.

ZeroAccess grote bedreiging

Overigens is het mijnen van Bitcoins niet de enige functie van het botnet. Via andere plugins, waarmee bijvoorbeeld klikfraude wordt gepleegd, wordt in totaal volgens Sophos 100.000 dollar per dag verdiend.

De rootkit ZeroAccess waart sinds begin vorig jaar rond op internet. Onlangs werden bezoekers van detelegraaf.nl belaagd door deze malware toen een nieuwsbriefpartner van de site besmet raakte met allerlei malafide software. ZeroAccess is vooral in Europa, de Verenigde Staten en Zuid-Amerika actief.

Sophos ziet het ZeroAccess-botnet als een van de grootste dreigingen op internet. “Het botnet blijft evolueren en hoe meer we te weten komen over zijn functionaliteit, hoe meer we beseffen waar het daadwerkelijk toe in staat is", aldus Sophos-onderzoeker James Wyke.