De ZeuS-toolkit wordt vooral gebruikt voor de bouw van Trojans om bankgegevens buit te maken. De toolkit wordt op de zwarte markt verhandeld voor een paar honderd dollar per licentie, en daarom scherp in de gaten gehouden door beveiligingsbedrijven en opsporingsinstanties.

Trucjes

Cybercriminelen proberen detectie daarom met trucjes zoveel mogelijk te ontwijken. Een van die trucjes, zo schrijft security-analist Timo Hirvonen van F-Secure, is het detecteren van debugger code die op de systemen van beveiligingsanalisten draaien. Zulke code is nodig om het proces van virusanalyse zoveel mogelijk te automatiseren, zo legt Hirvonen uit.

Maar dat kan onvoorziene gevolgen hebben voor de malware. In het geval van ZeuS (of Zbot, zoals F-Secure de Trojan noemt) heeft het te maken met de processorsnelheid. De routine gaat er namelijk van uit dat tenminste 2^32 klokcycli plaatsvinden gedurende twee seconden. Is dat niet het geval, dan komt het erop neer dat de code uitgaat van de aanwezigheid van een debugger, en worden de besmettingsroutines niet uitgevoerd.

Hoe trager, hoe beter

“Dat betekent dat het monster ervan uit gaat dat de cpu een kloksnelheid heeft van meer dan 2GHz”, zo legt Hirvonen uit. “Met andere woorden: als een processor een lagere snelheid heeft dan 2 GHz, dan zal het monster reageren alsof het wordt gedebugged. Uivoer wordt dan onderbroken, en het systeem wordt niet geïnfecteerd. Ik heb dit op een IBM T42 (1,86 Ghz)-notebook geprobeerd, en dat systeem was te traag om geïnfecteerd te worden.”

In een latere update voegt Hirvonen eraan toe dat een infectie niet 100 procent geweerd is bij een tragere processor. Hoe trager de processor, des te kleiner is de kans op infectie. Vanaf 2 GHz is infectie zeker.

Hoewel het alleen aanvallen van snelle systemen geen probleem hoeft te zijn als virus bijvoorbeeld ingezet wordt voor het bouwen van een krachtig botnet, lijkt het voor ZeuS toch echt een nadeel te zijn. Hirvonen merkt dan ook op dat anti-debuggingprocessen 'te agressief' kunnrn zijn en hun doel voorbij schieten.