Computerworld News Service: Den nyeste version af det kriminelle software-værktøj Zeus, der er ansvarlig for tab i millionklassen hos både forbrugere og erhvervsliv, kommer med indbygget sikring mod piratkopiering i lighed med de løsninger, der bruges i Microsofts Windows, oplyser en sikkerhedsekspert.
Og det er faktisk en god ting.
Ligesom Windows binder Zeus 1.3 sig til en specifik computer ved hjælp af en nøglekode, der delvist er baseret på maskinens hardware-konfiguration, fortæller Kevin Stevens, der er sikkerhedsanalytiker hos SecureWorks og medforfatter til en rapport om Zeus, der udkom i sidste uge.
"Det er præcist ligesom en licens til Windows," siger han i en forklaring af, hvordan nøglekoden genereres.
Når man starter værktøjet Zeus Builder - som i de mest grundlæggende konfigurationer koster 16.000-22.000 kroner - genererer softwaren et hardware-identifikationsnummer baseret på din computers komponenter og andre faktorer heriblandt styresystemets versionsnummer, fortæller Stevens.
Dette ID sendes derefter fra den kriminelle kunde til sælgeren af programmet, der sender en produkt-aktiveringskode tilbage, som man skal have for at kunne benytte værktøjet.
Der er dog en enkelt større forskel mellem den praksis til produktaktivering, som Microsoft bruger, og den Zeus bruger.
Microsoft tillader både større og mindre ændringer i hardwaren - større ændringer kan dog godt kræve en opringning for at overbevise en supportmedarbejder om at sende en ny aktiveringskode - Zeus, derimod, accepterer ingen sådanne ændringer.
Selv en mindre modifikation af pc'ens hardware kan få Zeus til at holde op med at fungere. "Du kan jo anmode om en ny aktiveringskode fra den person, der solgte dig programmet, men der er ingen garantier for, at du får en. Sælgeren kunne blot sige: 'Jeg har allerede dine penge, så du må betale for en ny'," påpeger Stevens.
Vil undgå piratkopiering
Der er åbenlyse årsager til, at denne teknologi til kopibeskyttelse er blevet tilføjet, og det er de samme årsager, som Microsoft henviser til som forklaring på, hvorfor virksomheden regelmæssigt opdaterer sine Windows Activation Technologies (WAT), der er bedre kendt under det tidligere navn, Windows Genuine Advantage (WGA).
"Dette sker afgjort for at afholde folk fra at piratkopiere softwaren," siger Stevens, der bemærker, at de tidligere versioner af Zeus i stor stil er blevet kopieret, tilpasset og solgt af andre. "Der har været mange hackede Zeus-programmer."
Zeus 1.2 havde eksempelvis kun en ophavsrets-ansvarsfraskrivelse og et unikt ID. Hvis det ID blev fundet på andre kopier, kunne malware-sælgeren true med lukke for salget til den oprindelige køber af den retmæssige kopi, der sandsynligvis stod bag lækagen, forklarer Stevens.
"Det var lidt som kontrolleret piratkopiering," tilføjer han. Da version 1.2.4.2 udkom, cirkulerede den som piratkopier i nogle måneder. Så udkom version 1.2.7.19, som derefter cirkulerede i nogle måneder."
Kun for de hårde kriminelle
Det kan godt være, at hackerne, der sælger Zeus, er begyndt at anvende hardware-baseret kopibeskyttelse for at beskytte deres investering, men der er en god sidegevinst for normale pc-brugere, argumenterer Stevens.
"Jeg mener, at dette faktisk er godt for os andre," siger han. "Det betyder, at disse nye versioner, som er endnu farligere, ikke spredes så meget som før."
Den høje pris for Zeus - visse moduler koster i nærheden af 55.000 kroner - sammen med dens nye beskyttelse med piratkopiering vil gøre det sværere for amatørhackere at få fat i software til at opbygge botnet.
"Dette er nu hovedsagligt for de professionelle kriminelle," siger Stevens.
Zeus blev først opdaget i 2007 af analytiker Don Jackson fra SecureWorks, som siden har fulgt dens vej op af den kriminelle rangstige. Zeus er ifølge Jackson og Stevens sandsynligvis den mest udbredte malware blandt kriminelle, der specialiserer sig i finansiel internetsvindel.
Zeus trak også for nylig overskrifter i medierne på grund af en ad hoc "nedlukning" af internetleverandøren Troyak, der var blevet sat i forbindelse med botnettet Zeus' command-and-control-servere.
Inden for få timer havde Troyak dog igen forbindelse til internettet, hvilket betød, at den fjerdedel af Zeus' kommando-servere, der var blevet afskåret, igen kunne forbinde til deres bots og sende nye instrukser.
Oversat af Thomas Bøndergaard
