De makers van het beruchte Zeus-botnet hebben verschillende aanpassingen doorgevoerd, waardoor het veel lastiger voor opsporingsdiensten wordt om het uit te schakelen. Veel traditionele botnets gebruiken een Command & Control (C&C) server om besmette computers aan te sturen. In het verleden zijn verschillende botnets opgerold doordat de C&C-server werd uitgeschakeld, waarna de botnetbeheerders de besmette machines geen opdrachten meer konden geven.

Eind vorig jaar verscheen er een nieuwe versie van Zeus die een peer-to-peer model (P2P) model introduceerde. Hierdoor konden de bots onderling opdrachten uitwisselen. De allernieuwste Zeus-versie gebruikt nu nog maar alleen P2P-communicatie om het botnet "levend" te houden en informatie te verzamelen.

"Dit betekent dat elke bot in het botnet als een C&C-server kan fungeren, terwijl ze er niet echt eentje zijn", zegt Andrea Lelli van Symantec. Daarnaast kan elke geïnfecteerde computer ook worden gebruikt om gestolen gegevens naar de aanvallers te sturen. De aanpassing maakt het lastiger om botnets uit te schakelen. Een ander voordeel is dat de Zeus-botnets op deze manier ook niet meer door de ZeusTracker zijn te volgen. Deze website bracht de IP-adressen van Zeus C&C-servers in kaart, maar straks zal dit niet meer mogelijk zijn.

Onzichtbaar
Een andere aanpassing is de overstap naar UDP. Voorgaande versies gebruikten TCP om gegevens uit te wisselen, zoals configuratiebestanden en lijsten van andere bots. TCP communicatie is echter eenvoudig te traceren en uit te lezen. Daarnaast voeren de bots geen authenticatie uit, waardoor bijvoorbeeld onderzoekers zich als een bot kunnen voordoen om vervolgens met andere bots te communiceren. Met UDP wordt dit een stuk lastiger, merkt Lelli op.

Symantec ontdekte verder dat het Zeus-botnet nu ook andere malware verspreidt. Oorspronkelijk is Zeus ontwikkeld om gegevens te stelen en bankrekeningen te plunderen, maar de nieuwste versie installeert een nep-virusscanner en proxy engine op besmette computers, wat volgens de onderzoekster opmerkelijk is.

Lelli benadrukt dat de C&C-functie nog niet volledig verdwenen is. In bepaalde gevallen zouden de bots nog met de C&C-server contact op kunnen nemen. "Als het ze gelukt is om de C&C-servers te verwijderen, dan is dit een stap om het botnet te versterken. Als het alleen via P2P werkt, wordt het bijna onmogelijk om de individuen erachter te volgen."