Eine Überraschung, angesichts der Tatsache, dass dieses Botnet Mitte Dezember 2013 in Zusammenarbeit mit Microsoft per Zwangsvollstreckung entfernt wurde. Die Kriminellen haben scheinbar ihre Unwesen weiter verrichtet. Dieser Wurm, erstmals im Februar 2012 entdeckt, ermöglicht die Remote-Code-Ausführung und das Herunterladen von Malware. Das Botnet wird über Drive-by-Downloads auf bösartigen Internetseiten, gefälschten Blogs, gefälschten Torrent-Dateien, P2P-Datei-Sharing-Anwendungen, Instant Messaging (IM)-Anwendungen und anderweitig verbreitet. Bekanntlich aktualisiert es sich selbst durch Peer-to-Peer-Netzwerke, die den Urhebern die Verbesserung und das potentielle Hinzufügen neuer Funktionen ermöglichen. Obwohl Microsoft und die Vollstreckungsbehörden eifrig daran arbeiteten, die IP-Adressen des Command-and-Control(C&C)-Netzwerks des ZeroAccess-Botnets nachzuverfolgen, lösten sie die Aufgabe, diese Bots von infizierten Computern zu entfernen, nie vollständig. Jetzt haben die Bots einen neuen Weg gefunden, mit den C&C-Servern zu kommunizieren.
Die Überwachung von ZeroAccess durch Check Point während der vergangenen Monate zeigt, dass Bots „auf freier Wildbahn“ noch immer überleben. Selbst Bot-Netzwerke, die „entfernt“ wurden, können wieder aufgebaut werden. Check Point-Kunden sollten das Anti-Bot Software-Blade aktivieren, um die Kommunikation der Bots zu identifizieren, die Kommunikation zu C&C-Servern zu verhindern und Alarmsignale zu geben, wenn solche Aktivitäten entdeckt werden.