Computercriminelen kiezen liever voor lekken die al enige tijd bekend zijn om een systeem te hacken, dan nieuwe kwetsbaarheden die nog niemand kent. De zogeheten "zero-days" krijgen in de pers vaak de aandacht, maar vorig jaar werden de meeste systemen via oude exploits gehackt. "Het gaat niet om het kennen van lekken die niemand kent. De meest succesvolle exploits van het afgelopen jaar waren geen zero-days," zegt Kris Lamb van IBM ISS's X-Force.

Door het gebruik van verschillende exploits, ook al zijn die al lange tijd bekend, weten aanvallers de meeste systemen te compromitteren. Er wordt daarom minder tijd gestoken in het vinden van zero-day lekken.

Botnetbeheerders kiezen uit economische redenen voor bekende bugs, omdat die uiteindelijk meer opleveren: "Ze maken zich niet druk om zero-days. Ze hoeven alleen maar geduldig te zijn, een exploit-kit te plaatsen en dan wachten. Ik vraag me af of de makers van exploit-kits het wel waard vinden om een zero-day te bemachtigen. Het kost veel geld en trekt veel aandacht. Gebruiken ze dezelfde oude exploit en infecteren ze niet zoveel hosts, dan kunnen ze langer met hun operatie doorgaan," aldus Joe Stewart van SecureWorks.

Toch zijn zero-days nog altijd aanwezig en gevaarlijk, vult beveiligingsonderzoeker H.D. Moore zijn collega aan. Zo wist de Windows animated cursor (.ANI) zero-day tienduizenden machines te infecteren voordat er een patch verscheen. Volgens Robert Graham van Errata Security worden zero-days met name ingezet tegen belangrijke doelen en hoeft de doorsnee gebruiker zich hier geen zorgen om te maken. "Het leger wordt vaak met zero-days bestookt," zo merkt hij op.