به نظر میرسد كه یک تروجان جدید كه كاربران 450 موسسه مالی در سراسر دنیا را هدف قرار داده است، عملكرد و ویژگیهای خود را مستقیماً از تروجانهای بدنام زئوس و Carberp به ارث برده باشد.
به نقل از مرکز ماهر؛ این تهدید جدید كه توسط محققان امنیتی شركت Trusteer (زیرمجموعه آیبیام) Zberp نام گرفته است، ویژگیهای متنوعی دارد. این تروجان میتواند اطلاعاتی شامل آدرس آیپی و نام را در مورد سیستمهای آلوده جمعآوری كند، از صفحه نمایش تصویر تهیه كرده و برای یک سرور راه دور ارسال کند، اطلاعات اعتباری FTP و POP3، گواهینامههای SSL و اطلاعات وارد شده در فرمهای وب را سرقت كند، سشنهای مرورگر را سرقت کند و اقدام به قرار دادن محتوای جعلی در صفحات باز وب كند و با استفاده از پروتكلهای VNC و RDP، ارتباط راه دور جعلی (remote desktop) برقرار کند.
محققان Trusteer اعتقاد دارند كه Zberp یك ویرایش از ZeusVM است. ZeusVM یك ویرایش اخیر از تروجان زئوس است كه كد منبع آن در سال 2011 در فرومهای زیرزمینی لو رفته است. ZeusVM در ماه فوریه كشف شد و با نوجه به اینكه نویسندگان آن از پنهاننگاری (steganography) برای پنهان كردن دادههای پیكربندی در درون تصاویر استفاده كردهاند، از سایر نسخههای زئوس متمایز میگردد.
نویسندگان Zberp نیز از همین تكنیک استفاده كردهاند كه این بدان معناست كه از كشف شدن توسط برنامههای ضدبدافزار جلوگیری میكنند، چرا كه بهروز رسانیهای پیكربندی را به شكل پنهان درون یک تصویر لوگوی اپل ارسال میكنند. البته این تهدید جدید از تكنیكهای hook نیز برای كنترل مرورگر استفاده میكند كه به نظر میرسد این ویژگی را از Carberp قرض گرفته باشد. Carberp نیز یك تروجان بانكی است كه كد منبع آن در سال گذشته لو رفت.
به گفته یكی از محققان Trusteer، پس از لو رفتن كد منبع Carberp به صورت عمومی انتظار میرفت كه در زمان كوتاهی مجرمان سایبری اقدام به تركیب كد منبع زئوس با كد منبع Carberp کنند و یک بدافزار جدید تولید كنند.
Zberp همچنین مشابه ZeusVM كلید رجیستری خود را در هنگام اجرا حذف میكند و به محض اینكه شاتداون شدن سیستم را تشخیص داد، آن را باز میگرداند. بنا بر گزارش Virus-Total، تروجان Zberp در ابتدای كشف از چشم اغلب نرمافزارهای آنتیویروس پنهان باقی میماند.