Najnowszą wersją botnetu ZeuS jest 1.3.4.x, przy czym po raz pierwszy w historii złośliwe oprogramowanie zyskało opcję aktywacji przypisującą builder do konkretnego komputera. Rik Ferguson, specjalista ds. bezpieczeństwa w firmie Trend Micro mówi: "Wprowadzenie tego modelu licencjonowania trojana, to dobry znak dla organizacji zajmujących się bezpieczeństwem. ZeuS jest tak popularny między innymi dlatego, że starsze wersje są dostępne bezpłatnie. Umożliwia to początkującym cyberprzestępcom rozpoczęcie działalności, której nie podjęliby, gdyby musieli takie oprogramowanie drogo kupić".

Trojan ten jest obecnie sprzedawany wyłącznie bezpośrednio przez twórców (poprzednio zajmowali się tym także nieoficjalni dystrybutorzy a starsze pirackie wersje były dostępne za darmo). Zestaw startowy kosztuje od 3 do 4 tysięcy USD i oprogramowanie budujące kod jest przypisane do konkretnego komputera za pomocą identyfikacji sprzętu.

Dodatkowe płatne moduły obejmują:

- Wykorzystanie komputera ofiary jako proxy, by zapewnić sobie anonimowość. Próba wyśledzenia takich połączeń przez organy ścigania doprowadzi jedynie do zarażonej maszyny (Backconnect, 1500 USD).

- Obsługa Windows Vista/Windows 7 (2000 USD). Bez tej opcji, botnet jest ograniczony do komputerów z Windows XP. Jako ciekawostkę należy podać fakt, że nie ma tutaj rozróżnienia na wersję w pełni zaktualizowaną, z włączoną obsługą DEP.

- Przechwytywanie danych wpisywanych do formularzy w przeglądarce Mozilla Firefox. W miarę wzrostu znaczenia Firefoksa, złośliwe oprogramowanie jest przystosowywane do przechwytywania informacji także z tej przeglądarki, do niedawna było to niemożliwe albo wymagało specjalnie przystosowanego keyloggera. Tym razem jest do tego gotowy moduł (2000 USD), który także zapewnia modyfikację sesji HTTP wyświetlanej przez tę przeglądarkę. Po zakupie tego modułu strony bankowości webowej wyświetlane za pomocą Firefoksa można modyfikować tak samo, jak przy Internet Explorerze.

- Przekazanie przechwyconych informacji na żywo za pomocą komunikatora internetowego Jabber. Jest to opcja, która umożliwia prześledzenie operacji na portalach transakcyjnych stosujących uwierzytelnienie za pomocą tokenów generujących czasowe OTN (500 USD).

- Zdalna kontrola komputera za pomocą specjalnie przygotowanej instalacji wykorzystującej popularny program VNC. Jest to moduł podobny do opcji backconnect, ale umożliwia pełną kontrolę maszyny w taki sposób, że ofiara nie zdaje sobie sprawy z faktu zestawienia połączenia przy pomocy zasobów jej komputera (systemu, przeglądarki internetowej). Zatem wszelkie zapisy w logach banku wskażą na komputer ofiary, w ten sposób da się także obejść zabezpieczenie za pomocą kart inteligentnych i innych narzędzi uwierzytelnienia sprzętowego. Ponadto moduł ten umożliwia atak przeciw usługom private bankingu, realizowanym za pomocą dedykowanego oprogramowania (takiego jak na przykład MultiCash). Jest to drogi moduł (10 tysięcy USD), ale samo jego istnienie udowadnia, że podziemie internetowe jest zainteresowane również specjalnie kierowanymi atakami przeciw klientom bankowości korporacyjnej lub private bankingu.

Co pewien czas pojawiają się doniesienia o wprowadzeniu polimorficznego szyfrowania, które bardzo poważnie utrudnia rozpoznawanie malware'u przez typowe programy antywirusowe. Nie jest to nowość, historia złośliwego oprogramowania zna bardzo wiele takich przypadków. Mimo wszystko należy pamiętać, że implementacja polimorficznego szyfrowania powoduje narzut około 200 kB kodu, przez co plik ZeuSa byłby większy. Wprowadzenie polimorficznego szyfrowania utrudni rozpoznanie tego trojana przez tradycyjne antywirusy (obecnie współczynnik detekcji waha się w okolicach 50%) ale nie oznacza to radykalnego wzrostu zagrożenia.

Rik Ferguson twierdzi, że: "zamiast koncentrować się na pojedynczym wektorze, w tym przypadku złośliwym kodzie, należy przyjąć podejście holistyczne. Należy badać nie tylko kod, ale także sposób infekcji, zachowanie oraz dane wysyłane i pobierane. Dopiero skojarzenie wszystkich czynników ochrony, w tym monitoringu ruchu sieciowego pod kątem aktywności botów, umożliwi wychwycenie zagrożeń, które mogłyby umknąć tradycyjnym systemom bezpieczeństwa" - dodaje.