De makers van de beruchte Zeus Trojan hebben hardwarematige kopieerbeveiliging aan hun creatie toegevoegd, om zo illegaal gebruik tegen te gaan. Zeus is één van de populairste programma's voor het plunderen van bankrekeningen en wordt voornamelijk tegen Britse en Amerikaanse bedrijven ingezet. Toch is de malware meer dan een eenvoudige bankovervaller. Zeus kan gegevens uit HTTPS formulieren, inloggegevens uit Windows Protected Storage, PKI certificaten, FTP en POP gegevens en Flash en HTTP cookies stelen, computers beschadigen, HTML pagina's aanpassen, screenshots maken, aanvullende malware downloaden en het lokale HOSTS bestand aanpassen.

De allernieuwste versie is 1.3.4.x, die alleen privé wordt verkocht. Oudere versies zijn vaak gratis via ondergrondse websites te downloaden. Om de nieuwste versie tegen een zelfde lot te beschermen, heeft de ontwikkelaar een hardwarematig licentiesysteem aan de Zeus-toolkit toegevoegd. Zodoende is de toolkit, waarmee cybercriminelen via een paar muisklikken een eigen Zeus-bot kunnen bouwen, alleen vanaf één computer te gebruiken. Wordt de software voor de eerste keer gebruikt, dan genereert die een specifieke code. De maker geeft de gebruiker vervolgens een sleutel voor alleen die computer. "Dit is de eerste keer dat we dit controleniveau voor malware zien", zegt Don Jackson, beveiligingsonderzoeker bij SecureWorks.

Modules
Het beveiligingsbedrijf onderzocht de laatste versies, over welke features ze beschikken en wat ze kosten. De laatste publieke versie is 1.2.7.19, waarin een Firefox form grabber actief is. Daarmee kan het Trojaanse paard ook in Firefox ingevulde inloggegevens en andere vertrouwelijke data stelen. Het injecteren van aanvullende velden, bijvoorbeeld voor het stelen van inloggegevens voor internetbankieren, werkt alleen in Internet Explorer.

De nieuwste versie kost tussen de 2.200 en 2.900 euro en is uit te breiden met een Backconnect module van 1.000 euro. Via deze module kan de gebruiker via de besmette computer banktransacties uitvoeren. Als de bank wil uitzoeken waar de transactie vandaan komt, komt die altijd uit bij de computer van de rekeninghouder. De eerder besproken Firefox form grabber module kost 1.450 euro, terwijl de 'Jabber IM chat notifier' zo'n 350 euro kost. Met deze module ontvangt de cybercrimineel in realtime de gestolen gegevens. Hiermee is het mogelijk om toch toegang te krijgen tot bankrekeningen die met een token beschermd zijn.

Firefox en Windows 7
De duurste module is VNC module, waar de ontwikkelaar 7.200 euro voor vraagt. Aanvallers krijgen hiermee een virtuele verbinding met de computer van het slachtoffer, zonder dat die dit doorheeft. De functionaliteit laat de aanvaller verschillende hardwarematige authenticatiesystemen omzeilen, aangezien hij meteen meelift met het slachtoffer en volledige controle over diens computer heeft. De module geeft aanvallers zelfs toegang tot de smartcard die voor grote transacties vereist is.

Standaard werkt Zeus alleen op Windows XP, maar voor 1.450 euro is het ook mogelijk om Windows 7 en Vista systemen te infecteren. Inmiddels is ook versie 1.4 in ontwikkeling, die Zeus van polymorfische encryptie voorziet en de mogelijkheid geeft om aanvullende velden in Firefox te injecteren.

Internetbankieren
SecureWorks adviseert bedrijven en thuisgebruikers dat ze via een geïsoleerd werkstation internetbankieren, dat niet wordt gebruikt voor e-mail en websurfen. Dit zou het risico op infectie moeten verminderen. Ook het gebruik van een alternatief besturingssysteem wordt geopperd, naast het patchen van systemen en het niet openen van verdachte links en e-mailbijlagen. Verder staan in deze analyse verschillende tips waaraan een met Zeus geïnfecteerd systeem is te herkennen.