De dag die je wist dat ging komen is hier. Securitybedrijf Malcovery Security heeft samples opgepikt van een splinternieuwe Gameover Zeus-variant. De jongste telg in de trojan-familie deelt ongeveer 90 procent van de codebase van zijn vader.

Nieuw is dat de p2p-infrastructuur, waarmee zombies binnen een botnet elkaar kunnen contacteren en een C&C niet langer het hoofd is van een botnet, is losgelaten.

Dat het lastig is om een botnet aan te pakken blijkt wel uit twee afzonderlijke incidenten deze maand: de terugkeer van Gameover Zeus en de per ongeluk neergehaalde dynamische DNS-dienst No-IP. Waarom is het zo lastig om een botnet fatsoenlijk op te ruimen? Lees precies waarom op onze zustersite Computerworld.

In de nieuwe opzet maakt Gameover Zeus gebruik van Fast Flux, een techniek om snel van IP-adressen te wisselen. Daarnaast heeft het net als zijn voorganger een fallback-methode waarbij zombies een nieuw domein genereren.

Die optie is asymmetrisch versleuteld en alleen de cybercriminelen kunnen dat domein achterhalen en vervolgens registreren. Daarom moeten bij een takedown zowel de C&C's als alle beheerders worden opgerold én de clients worden opgeruimd.