Onderzoekers van RSA Research ontdekten onlangs op een verdachte server een op maat gemaakte versie van een Zeus Robot Admin-beheerpaneel, een tegenwoordig erg populaire Panther-versie van de Zeus Robot die is gebaseerd op de Zeus v2.8.0.9 code. Maar aan dit beheerpaneel zat een raar luchtje. Of liever gezegd, een add-on en meer precies een VB-script dat een exe dropt in het systeem.

Dat uitvoeringsbestand (svchost.exe) infecteert alle bestanden op het systeem en activeert een file die loert op alles wat via de USB-poort wordt verbonden met het besmette systeem. Nader onderzoek leerde RSA dat de besmetting komt van een uit 2011 stammende worm Ramnit, die de VBS-code injecteert in alle HTML-bestanden die op het systeem worden gevonden. De besmetting heeft waarschijnlijk halverwege 2013 al plaatsgevonden.

De conclusie van RSA was in eerste instantie dat deze cybercrimineel wel heel doortrapt was: hij zou de console via de worm hebben 'beveiligd' tegen ongewenste medecriminelen die wellicht de controle over het Zeus-panel zouden willen overnemen. Maar nadere analyse bracht de onderzoekers tot het idee dat de PC van de fraudeur zelf is besmet met de Ramnit-variant, dat vervolgens een kopie injecteerde in de op die PC staande Zeus Panther Admin-panel. Deze werd door de crimineel geüpload naar de server. En daardoor raakte de server zelf besmet.

"Dat laat duidelijk zien dat hoewel die criminelen geacht worden bekend te zijn met malware, zij net zo kwetsbaar zijn voor malwarebesmettingen als het argeloze publiek", concludeert RSA, "en zij niet zo voortvarend zijn in het schoonhouden van hun computer". Overigens vangen vrijwel alle antimalwareprogramma's Ramnit af, ook deze wat nieuwere versie. Dat zou kunnen betekenen dat de crimineel zijn PC niet heeft beveiligd.