Veiligheidsspecialist Billy Rios heeft ontdekt dat de PHP webinterface van het ZeuS-controlesysteem kwetsbaar is. Hackers kunnen door de kwetsbaarheid het systeem overnemen en daardoor controle krijgen over het hele botnet dat onder andere bankgegevens steelt. Ook is het mogelijk om de data die door het botnet gestolen is te lezen, of juist te verwijderen.

500 dollar

Rios ontdekte de fout terwijl hij de ZeuS toolkit analyseerde. Met die toolkit, die voor 500 dollar te koop is, is het mogelijk om een eigen ZeuS-botnet op te zetten. Toen de beveiligingspecialist een lokaal botnet op had gezet merkte hij dat er een bug in het controlesysteem zat: Het script om logbestanden te uploaden checkt niet op verboden extensies. Hackers kunnen op die manier een eigen PHP-script naar de server sturen en uitvoeren.

RAM-geheugen

Voordat hij het script kon uploaden moest Rios wel eerst een RC4-sleutel om de communicatie te versleutelen vinden. Deze sleutel wordt aan iedere individuele bot toegekend, maar kan uitgelezen worden uit het RAM-geheugen van een besmette computer. Rios heeft een proof of concept gepubliceerd waarmee het mogelijk is om de controleserver te benaderen en er een backdoor op te installeren.

Omdat de ZeuS toolkit de basis is van verschillende andere trojans, zijn controleservers daarvan waarschijnlijk ook kwetsbaar voor dit gat. Volgens Rios is de bug alleen aanwezig in versies van de toolkit die vóór januari van dit jaar geleverd zijn.

1 miljoen dollar

Het Trojaanse paard ZeuS waart al enige tijd rond over internet en wordt telkens bijgewerkt door de makers. Het virus infecteert Windows en probeert vervolgens via keylogging bankgegevens of logins voor webwinkels te stelen. Omdat de toolkit voor ZeuS te koop is, spoken op internet veel trojans rond die met die toolkit gemaakt zijn. In augustus zou er in Groot Brittannië al 1 miljoen dollar gestolen zijn door de bot.