| Symantec Security Response Weblog |
February 4,2010 Posted by Security Response
しばらく前から犯罪ソフト(クライムウエア)作成ツールキット「Zeus」が広まり、アンダーグラウンド経済圏で確固たる地位を築き上げてきた(関連記事:トロイの木馬作成ツール「Zeus」,アングラ犯罪ソフト・ツールキット界の王者)。ところが2009年12月終わりになって「SpyEye V1.0」という新たなクライムウエア作成ツールキットがロシアから登場し、ロシアのアングラ系フォーラムで販売されるようになった。価格は500ドルで、Zeusから大量の顧客を奪うつもりだ。当社(米シマンテック)はSpyEyeを「Trojan.Spyeye」として検出する。SpyEyeは比較的新しい脅威なので、その機能の多くはまだ把握できていない。しかし出現してからの期間と検出率の高まり具合を見る限り、SpyEyeは今後アングラ犯罪ソフト・ツールキットの王座に就く可能性がある。
SpyEyeはいろいろな点でZeusとよく似ており、トロイの木馬タイプのボット用実行ファイルおよび設定ファイルを作るビルダー・モジュールと、Webベースのボットネット制御用(C&C:command-and-control)コントロール・パネルを備えている。Webサイトでは以下のような機能を宣伝していた。
* フォームロガー(キーロガー)
* クレジットカード対応の自動入力モジュール
* メールを毎日バックアップ
* 設定ファイルの暗号化
* FTPロガー
* POP3ロガー
* HTTP基本アクセス認証ロガー
* Zeus抹殺機能
SpyEyeは定期的にアップデートされ、機能を増やしている。最新版の「V1.0.7」には、確認し切れていないものの「Kill Zeus」(Zeus抹殺)と呼ばれる興味深い新機能が加わった。SpyEyeは、Zeusと同じくMicrosoft Windows Internet(WinInet)API(Wininet.dll)の関数HttpSendRequestAに設けたフックで通信を行う。そのためSpyEyeの感染パソコンがZeus系マルウエアにも感染していると、Zeusの制御用サーバーに送られるhttpリクエスト情報がSpyEyeにも伝わる。
アングラ系フォーラムで入手したZeus制御用サーバーに関する情報
SpyEyeが新たに搭載したKill Zeus機能は、トロイの木馬を作る段階で有効にするかどうか選択できる。有効化すると最終的に感染パソコンからZeusを削除し、SpyEyeだけが残るらしい。SpyEyeが動き出すとZeusのボットネットに組み込まれているパソコンが減るので、SpyEyeはZeusを使っているクライムウエア作者から反撃を受けることになる。こうした状況は、かつて「Beagle」や「Netsky」、「Mydoom」が繰り広げたのと同じようなボット戦争を引き起こしかねない(関連記事:次々出現する「Beagle」ウイルスの変種に注意,HTMLメールを開いただけで感染するものも/ワーム「WORM_NETSKY.P」(ネットスカイ)/ワーム「WORM_MYDOOM.BJ」(マイドゥーム))。
SpyEyeでトロイの木馬を作成するコントロール・パネル
SpyEyeは、感染パソコンに新たなマルウエアを追加感染させる機能も持っている。以下のように、GUI対応コントロール・パネルで国を選ぶことができる。
シマンテックは引き続きSpyEyeの動きを監視し、必要に応じてマルウエア検出用の定義ファイルを更新する。SpyEyeからパソコンを守るには、定義ファイルを最新状態に維持することが一番だ。
なお、分析作業を協力してくれたMario Ballano Barcena氏に感謝する。
Copyrights (C) 2009-2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「SpyEye Bot versus Zeus Bot」でお読みいただけます。
