Een belangrijke Gameover Zeus-infrastructuur heeft een gevoelige klap gekregen toen de C&C's eind mei werden neergehaald in de Oekraïne. Maar de zombies van het p2p-netwerk bestaan nog steeds en met een instructiewijziging kunnen die naar een andere C&C worden overgeheveld. Daarom werken opsporingsdiensten nu met onder meer providers om geïnfecteerde machines op te schonen.

2 tot 6 weken de tijd

"Organisaties moeten nu aan de bak om de boel schoon te maken", vertelt Europols Cybercrime Centre (EC3) directeur Paul Gillen aan Webwereld op een cybercrime-evenement van McAfee in Londen. "Het is niet gezegd dat Gameover Zeus weer terugkomt, maar de kans is zeker aanwezig." Volgens EC3 is er na de takedown een moment van 2 tot 6 weken dat de infrastructuur plat ligt.

De p2p-malware zit zo in elkaar dat elke client een lijst bevat van andere clients. Deze peers vormen zo een heel andere infrastructuur dan normale bots die met vastgestelde C&C's communiceren. Daarbij hak je het hoofd van een botnet door de C&C neer te halen, waardoor het knap lastig - maar niet onmogelijk - is om de zombies van nieuwe instructies te voorzien.

Maar p2p-malware kan een lijst ontvangen van andere clients en deze proxy-infrastructuur maakt het neerhalen van zo'n botnet een herculestaak. Om deze reden was een overwinning van Microsoft op Zeus in 2012 uiteindelijk van korte duur.