Bei der Analyse von Gpcode.ai konzentrierte sich Kaspersky auf mehrere Indizien, darunter den im Trojaner-Body enthaltenen String _SYSTEM_64AD0625_, mit dem Gpcode seine Anwesenheit im Arbeitsspeicher markiert. Als die Experten ihre umfangreiche Virenkollektion nach dieser Zeile durchsuchten, war das Ergebnis mehr als überraschend: Sie tauchte in den unterschiedlichsten trojanischen Schadprogrammen auf, zu denen beispielsweise die Klassen Trojan-Downloader, Trojan-Spys und Backdoors gehören. Die Stichproben hatten jedoch noch mehr Gemeinsamkeiten. So installieren sie zahlreiche Dateien, modifizieren Windows-Ordner und stimmen auch zu mehr als 80 Prozent im Programmcode überein.

Die Antiviren-Experten waren damit auf eine Art "Universalcode" gestoßen, der sich vielseitig einsetzen lässt. Seine Funktionen eignen sich unter anderem für Datendiebstahl und zum Malware-Download auf bereits infizierte Rechner. Mit dem "Universalcode" ausgestattete Programme können aber auch als Bots fungieren und infizierte Computer an Zombie-Netze anschließen.

Im nächsten Schritt analysierte das Unternehmen die im Universalcode enthaltenen Links anhand zahlreicher aktueller Malware-Versionen. Wie die Recherchen ergaben, besteht zwischen Schädlingen wie Zhelatin, Warezov, Bancos.aam, Bzub und Gpcode.ai eine Verbindung. Nun galt es, den Programmierer des "Universalcodes" zu enttarnen und herauszufinden, ob sämtliche damit erstellte Malware auf das Konto ein und derselben Hacker-Gruppe geht.

Mit ZeuS war der Urheber der Schädlinge bald gefunden. Die Malware installiert sich selbsttätig auf einem System, infiltriert laufende Prozesse, widersteht verschiedenen Antivirus-Programmen und bietet einen http-Proxy-Server. Alle ZeuS-Varianten verewigen sich auf befallenen Systemen mit dem String _SYSTEM_. Sämtliche Versionen der Malware fasste Kaspersky daraufhin zu einer eigenständigen Familie namens Zbot zusammen.