Een beveiligingslek in de code van een berucht en bij cybercriminelen geliefd botnet maakt het kinderspel om toegang tot het beheerderspaneel te krijgen en zelfs de onderliggende server over te nemen. Het gaat om Zeus, ook wel het "Zwitserse zakmes" voor cybercriminelen genoemd.

Zeus is een 'bouwdoos' waarmee het eenvoudig is om een eigen botnet op te zetten. De bouwdoos genereert een malware-exemplaar dat vervolgens nog moet worden verspreidt. Zodra een computer met dit malware-exemplaar besmet raakt, maakt het verbinding met de Command & Control-server. Deze server stuurt alle besmette computers aan en geeft ze opdrachten.

In tegenstelling tot het onlangs aangepakte GameOver Zeus-botnet, dat één botnet was en op de code van Zeus was gebaseerd, zijn er tal van Zeus-botnets actief. De malware is speciaal ontwikkeld om gegevens voor internetbankieren te stelen, maar kan ook andere data buitmaken. Deze informatie wordt vervolgens gecodeerd en naar de Command & Control-server verstuurd.

Programmeerfouten

Volgens beveiligingsbedrijf Websense hebben de makers van Zeus enkele programmeerfouten in de code gemaakt, waardoor er toegang tot het beheerderspaneel kan worden verkregen. Het is namelijk mogelijk om PHP-bestanden te uploaden en verschillende commando's op de server uit te voeren, alsmede het starten van een PHP-shell. Via de webshell kan het bestandssysteem worden verkend en is het mogelijk om met de database te communiceren.

In de database wordt het wachtwoord van het beheerdersgedeelte bijgehouden. Dit wachtwoord is via het zwakke MD5-algoritme gehasht, waardoor het eenvoudig te kraken is. Daarnaast is het ook mogelijk is om een nieuwe wachtwoordhash aan de database toe te voegen. Vervolgens kan erop het beheerdersgedeelte worden ingelogd. Eenmaal ingelogd kunnen er allerlei opdrachten aan de bots worden gegeven, zoals het stelen van inloggegevens of het installeren van aanvullende malware.