Begin juni haalden de FBI en Europol het GameOver Zeus-botnet uit de lucht, maar een nieuwe variant is inmiddels actief en heeft al duizenden computers geïnfecteerd, vooral in de VS. GameOver Zeus is een zogeheten banking Trojan, die vooral is ontwikkeld om gegevens voor internetbankieren te stelen.

De originele GameOver Zeus gebruikte een peer-to-peer (P2P)-infrastructuur als primaire communicatiemethode. De nieuwe variant, die zich via e-mailbijlagen verspreidt, gebruikt een Domain Generation Algorithm (DGA) dat elke dag tussen de 1.000 en 10.000 domeinnamen genereert. Een aantal van deze domeinen worden vervolgens voor de communicatie met de besmette computers gebruikt. Doordat onderzoekers het algoritme hebben gekraakt weten ze ook welke domeinen er zullen worden gegenereerd en kunnen die vervolgens registreren.

De besmette computers maken dan geen verbinding met de servers van de botnetbeheerders, maar met die van de onderzoekers. Op deze manier is het mogelijk om een beeld van het aantal besmette computers te krijgen. Zowel beveiligingsbedrijf Arbor Networks als anti-virusbedrijf Bitdefender kregen via verschillende domeinen een kijkje in het botnet. Gedurende de drie weken dat Arbor Networks het botnet monitorde zag het ruim 12.000 besmette IP-adressen voorbij komen.

Opmerkelijk is dat er opeens ook een afname van het aantal besmette machines zichtbaar was. Volgens het beveiligingsbedrijf komt dit waarschijnlijk omdat computergebruikers de malware verwijderden. Het aantal infecties is nog altijd een fractie van het eerste GameOver Zeus-botnet. Dennis Schwarz van Arbor Networks vraagt zich dan ook af hoelang de botnetbeheerders door blijven gaan met het opbouwen van het botnet totdat ze zich weer richten op het stelen van geld.