Onderzoekers hebben een nieuwe versie van de Zeus Trojan ontdekt, die allerlei verbeteringen bevat om online bankrekeningen efficiënter te plunderen. De afgelopen weken zijn tientallen Zeus-criminelen opgepakt en verschenen verschillende andere 'banking Trojans', zoals Bugat, Clampi, SpyEye en Carberp. De ontwikkelaars van Zeus hopen met versie 2.1 de klandizie te behouden.

"Net als commerciële applicatieontwikkelaars, hebben de makers van Zeus een R&D programma om ervoor te zorgen dat het detectie kan voorkomen en het groeiend aantal beveiligingsmaatregelen bedoeld om het te detecteren, blokkeren en verwijderen, kan omzeilen", zegt beveiligingsbedrijf Trusteer. Versie 2.1 beschikt over 'URL matching' gebaseerd op volledige implementatie van de Perl Compatible Regular Expressions (PCRE) library. Daarmee biedt het meer opties om aan te vallen banken in te stellen. Zeus kan nu alle URLs die met 'https' beginnen aanvallen, om vervolgens op speciale sleutelwoorden en cijfers te filteren. Ook het injectie-mechanisme van Zeus gebruikt nu PCRE, wat detectie moet voorkomen. Dit zorgt ook voor overtuigende pagina's en de mogelijkheid om in één keer meerdere banken aan te vallen.

Detectie
PCRE wordt ook toegepast bij het onderscheppen van de inloggegevens, rekeninggegevens en andere codes. Verder is er een 1024-bit RSA publieke sleutel toegevoegd, waarschijnlijk voor het versleutelen van gegevens en het authenticeren van de C&C-server bij de Zeus clients. Volgens Trusteer zal Zeus nog wel even de favoriete malware voor het legen van bankrekeningen blijven.

Daarbij moeten zowel bedrijven als eindgebruikers beseffen dat virusscanners slechts gedeeltelijk effectief zijn tegen moderne malware als Zeus, Bugat en SpyEye. "Veel van deze worden niet door virusscanners gedetecteerd en hebben het voorzien op medewerkers en het stelen vertrouwelijke bedrijfsgegevens. Deze versie van Zeus is bijna niet door virusscanners te detecteren", aldus Trusteer.