De P2P-versie van de beruchte Zeus banking Trojan, ook bekend als Gameover, gebruikt nieuwe UDP-poortnummers om met besmette computers te communiceren. Zeus is een Trojaans paard dat voornamelijk wordt gebruikt om inlog- en transactiegegevens voor internetbankieren te stelen of manipuleren. In tegenstelling tot de normale variant van Zeus, gebruikt Gameover P2P-communicatie.

De besmette computers worden niet via een centrale Command & Control-server aangestuurd, maar communiceren met elkaar. Deze gedecentraliseerde aanpak moet het lastiger maken om het botnet uit te schakelen, aangezien er geen centrale server is die onderzoekers, autoriteiten of beveiligingsbedrijven kunnen uitschakelen.

Poortreeks

De communicatie tussen de besmette computers gebeurt via verschillende UPD-poorten. Het Poolse Computer Emergency Response Team (CERT) publiceerde in juni een uitgebreid rapport over Gameover en het P2P-protocol dat het gebruikt. Zo werden onder andere de gebruikte poortnummers vermeld. De malware bleek UDP-poortnummers tussen de 10.000 en 30.000 te gebruiken.

De nieuwste varianten van Gameover gebruiken een nieuwe poortreeks, namelijk tussen de 1024 en 10.000. Daarbij worden al besmette computers met oude varianten langzaam geüpdatet, zodat ze ook de nieuwe poortreeks gebruiken. Volgens beveiligingsbedrijf Damballa heeft dit mogelijk met de publicatie van het rapport te maken.