De criminelen achter het ZeroAccess-botnet, dat op het hoogtepunt uit 2 miljoen besmette Windowscomputers bestond, hebben letterlijk de witte vlag gehesen, zo meldt Microsoft. De softwaregigant voerde begin december samen met de FBI een operatie tegen het botnet uit.

Doordat ZeroAccess een peer-to-peer (P2P)-infrastructuur gebruikt, slaagde Microsoft er niet in om het gehele botnet uit te schakelen. In tegenstelling tot traditionele botnets wordt ZeroAccess niet door een centrale Command & Control-server aangestuurd, maar zijn het de besmette computers die onderling de opdrachten doorsturen. Nog geen 24 uur na de operatie van Microsoft en de FBI verstuurden de botnetbeheerders een nieuwe instructie naar besmette computers.

Wat de update precies deed laat Microsoft niet weten, behalve dat die ervoor zorgde dat de fraude die het botnet pleegde doorging. ZeroAccess werd onder andere gebruikt voor het plegen van clickfraude, waarbij de besmette computers worden gebruikt voor het genereren van valse clicks op advertenties. Iets wat schadelijk voor zowel adverteerders als advertentienetwerken is.

Witte vlag

Doordat Microsoft de acties van de botnetbeheerders monitorde, kon het de IP-adressen die de beheerders gebruikten meteen identificeren. Het bleek om Duitse IP-adressen te gaan. Microsoft waarschuwde het European Cybercrime Centre (EC3) van Europol in Den Haag, dat vervolgens met het Duitse Bundeskriminalamt (BKA) de IP-adressen traceerde.

Na de actie van het BKA verstuurden de botnetbeheerders nog één update naar de besmette computers met daarin de boodschap "WHITE FLAG". Volgens Microsoft geeft dit aan dat de botnetbeheerders het botnet hebben opgeven. Sindsdien zijn er geen nieuwe updates voor de besmette computers waargenomen en wordt het botnet ook niet meer gebruikt voor het plegen van fraude.