ZeuS Tracker, de site waarop deze malware scherp in de gaten wordt gehouden, heeft goed en slecht nieuws. Het goede nieuws is dat de actie tegen Troyak van vorige maand een groot succes was. Door de grote aandacht in de media heeft het een domino-effect teweeggebracht. Veel providers die C&C servers hosten worden door hun upstream providers onder druk gezet om de criminele activiteiten te stoppen. Daar wordt massaal gehoor gaan gegeven.

Het aantal C&C servers van ZeuS is daardoor nog steeds erg laag. “We zijn nu op een punt aangekomen waarop ZeuS C&C servers offline gaan slechts een paar minuten nadat ze op de ZeuS Tracker zijn verschenen”, schrijft de beheerder van de site in zijn blogpost.

FastFlux botnets

ZeuS heeft het dus moeilijk, maar de criminelen zijn niet voor één gat gevangen. Ze hebben de hulp ingeroepen van andere criminelen. De laatste tijd worden steeds meer C&C servers gehost op een FastFlux botnet. Het was al wel een bekend gegeven dat malware om pc’s mee te infecteren op deze botnets draaiden, maar het hosten van C&C servers is nieuw.

FastFlux is een DNS-techniek waarbij de servers worden verstopt achter een netwerk van telkens andere geïnfecteerde computers die als proxies dienen. Hierdoor wordt het veel moeilijker om de servers te lokaliseren en neer te halen.

Op dit moment worden er nog 9 ZeuS C&C servers gehost op een FastFlux botnet. Maar volgens ZeuS Tracker zullen dat er in de toekomst snel meer worden.

Bron: Techworld