Het hoofd is dan wel van het botnet gehakt, de geïnfecteerde clients blijven bestaan. Ze bellen dan naar een adres dat niet meer bestaat en sturen niks meer door totdat ze een nieuw adres krijgen. Het is dan ook na een botnet-takedown eigenlijk zaak om te zorgen dat in het botnet gevangen pc's worden schoongemaakt. Anders is het een kwestie van tijd voor de zombies weer herrijzen.

Kleiner, maar groot genoeg

Dat is dus precies wat er nu met ZeroAccess is gebeurd. Dell Secureworks merkt op dat het botnet terug is, zonder daarvoor nieuwe systemen in te lijven. ZeroAccess gaat doodleuk verder met zombies die al eerder waren geïnfecteerd. Het botnet is wel kleiner geworden in de tijd dat het offline was, maar heeft met 55.000 systemen (in de hoogtijdagen waren dat er 2 miljoen) nog altijd genoeg pc's om terug te keren naar zijn core business: klikfraude.

Lees ook: Waarom botnets de wapenwedloop winnen.

ZeroAccess dook afgelopen zomer alweer op, maar bleef lange tijd stil. Zulke p2p-botnets zijn niet zo afhankelijk van hun command-and-control-servers als botnets van weleer, omdat de clients instructies aan elkaar doorgeven. Een botnet als ZeroAccess zou met tak en wortel moeten worden uitgeroeid, enkel een takedown van C&C's is niet zo zinvol.

Deze maand is ZeroAccess weer tot leven gekomen en overgenomen clients worden ingezet voor malafide doeleinden. Het botnet wordt volgens Dell beheerd door dezelfde personen als in 2013.