Eksperci ds. bezpieczeństwa obserwują stały strumień próbek ZeuSa i prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Jednak od czasu do czasu pojawiają się dość nietypowe modyfikacje i są powody by sądzić, że w pewnym zakresie ZeuS wciąż jest utrzymywany i rozwijany.
Dwa miesiące temu analitycy z Kaspersky Lab wykryli nową funkcję ZeuSa: trojan sprawdza, czy jest uruchamiany na platformie testowej, np. w specjalnym środowisku laboratorium antywirusowego. Uruchamianie trojana było wstrzymywane, jeżeli pojawiały się oznaki, że szkodnik działa w środowisku stworzonym do analizowania jego zachowania.
Z kolei kilka tygodni temu pojawił się inny wariant ZeuSa, który wykazywał nietypowe zachowanie jak na tę rodzinę. Wszystkie jego ostatnie odmiany miały ten sam algorytm dekodowania sekcji we własnym kodzie, która zawierała pierwotne ustawienia wewnętrzne trojana. Nowa, nietypowa próbka zawierała podwójne szyfrowanie.
Najpierw dane były szyfrowane przy użyciu standardowego algorytmu, jednak adres w odsyłaczu do pliku konfiguracyjnego był fałszywy. Prawdziwy odsyłacz do pliku konfiguracyjnego, który zawierał adres centrum kontroli botnetu, został ujawniony dopiero po drugim deszyfrowaniu.
Na początku marca analitycy z Kaspersky Lab trafili na próbkę ZeuSa, która również sprawdza, czy jest analizowana przez, na przykład, firmy antywirusowe. Jej funkcjonalność jest niemal taka sama, są jednak drobne modyfikacje – dodano kolejne kryterium wykrywania nowej platformy testowej.
W tym wariancie ZeuSa zmodyfikowana została również struktura fragmentów kodu, która przez ponad 6 miesięcy pozostawała niezmieniona i była wykorzystywana w tysiącach próbek trojanów.
Zmiany w kodzie pokazują, że próbka ta została stworzona przy użyciu nowej wersji pakietu do konstruowania ZeuSa. Funkcja umożliwiająca wykrywanie platformy testowej jest unikatowa i wygląda na to, że została dodana do standardowej funkcjonalności ZeuSa.
To sugeruje, że dla wąskiego grona ostatnich klientów korzystających z usług cyberprzestępców, którzy stworzyli ZeuSa, wciąż świadczona jest pomoc techniczna.