Symantec Security Response Weblog |
May 3、2010 Posted by Karthik Selvaraj
「Zeus/Zbot」は、現在インターネットに出回っている脅威の中で最も知名度の高いものの一つだ。2007年ころに登場して徐々に進化してきたが、さらに高い感染拡大能力を持つ強力なトロイの木馬を目指して今でも開発が続けられている(関連記事:拡大する「ZBOT」の脅威 「運び屋」が担う役割とは?/「SpyEye」と「Zeus」の両ボットを比較)。
我々は数週間前、Zeusボットネットに関連する不正プログラム「Zbot」の亜種を見つけた。この事実から、Zeus/Zbotの感染技術と挙動に関するコードリファクタリング作業と機能の各種変更作業が継続中であると分かる。現在この亜種は(トロイの木馬作成キットのバージョンにちなんで)「バージョン2.0」と呼ばれている。
平均レベルのパソコンユーザーのために、まずこの変更による影響を整理しておく。
・1台のパソコンに複数のZbotが感染できるようになった。つまり、被害者の個人情報が複数のZbotコントーラーに送られる
・「Firefox」だけでなくほかのWebブラウザーから情報を盗もうとする
・「Windows 7」など新しいOSでも動くように機能を強化した
・開発が続けられているため、まだ数年は活動し続ける可能性がある
・手作業でZbotを削除しようとしても一筋縄ではいかない。「Zeusを抹殺できる」としている別の脅威も簡単には削除に成功しない
次にバージョン2.0の変更内容を簡単に示そう。Zeusに詳しくない場合は、我々が以前公開したZeusのレポートに目を通してほしい「Zeus:King of the Bots(Zeus:ボットの王者)」(PDF形式、関連記事:トロイの木馬作成ツール「Zeus」,アングラ犯罪ソフト・ツールキット界の王者)。
対応「コマンド」・バージョン2.0で変更されたZeus/Zbot内蔵コマンドを以下の表にまとめ、バージョン1.xと比較した。
バージョン2.0のコマンド | 機能 | バージョン1.xのコマンド |
---|---|---|
user_flashplayer_get | ユーザーのパソコンからFlashプレーヤーのデータを取得する | -- |
user_ftpclients_get | 「FlashFXP」「total_commander」「ws_ftp」「fileZilla」「FAR2」「winscp」「ftp_commander」「coreFTP」「smartftp」といったツールからパスワードを盗む | Resetgrab |
user_homepage_set | Webブラウザーのホームページに任意のURLを設定する | Sethomepage |
user_url_unblock | 任意のURLに対するアクセスを回復させる | Unblock_url |
user_url_block | 任意のURLに対するアクセスを無効化する | Block_url |
user_certs_remove | ログイン情報を削除する | -- |
user_certs_get | デジタル証明書を盗む | Getcerts |
user_cookies_remove | Webブラウザーのクッキーを削除する | Delmff(限定的な機能だった) |
user_cookies_get | クッキーをアップロードする | Getmff(限定的な機能だった) |
user_execute | ファイルをダウンロード/実行する | 「Rexec」と「Lexec」、「Lexeci」を組み合わせて実現 |
user_logoff | ユーザーをログオフさせる | -- |
bot_bc_remove | バックドアーのコネクションを切る | Bc_del |
bot_bc_add | サーバーと接続し直してバックドアーを起動し、コマンドシェルで任意のコマンドを実行できる状態にする | Bc_add |
bot_update | ボット設定情報をダウンロード/アップデートし(レジストリへの設定も行う)、新しいボット用インストーラーをダウンロード/実行する | 「Upcfg」と「Rename_bot」を組み合わせて実現 |
bot_uninstall | ボットを完全に削除する | -- |
os_reboot | パソコンを再起動する | Reboot |
os_shutdown | パソコンをシャットダウンする | Shutdown |
user_destroy | ユーザーの全ファイルを削除する機能らしい(ただし未実装) | Kos |
fs_search_remove | ローカル検索用ファイルマスクを削除する機能らしい(ただし未実装) | Delsf |
fs_search_add | ローカル検索用ファイルマスクを追加する機能らしい(ただし未実装) | Addsf |
fs_path_get | ファイルまたはフォルダーをアップロードする機能らしい(ただし未実装) | Getfile |
bot_httpinject_disable | http挿入を無効化する機能らしい(ただし未実装) | Block_fake |
bot_httpinject_enable | http挿入を可能にする機能らしい(ただし未実装) | Unlock_url |
・バージョン2.0用コマンドの中には、現時点でまだ実装されていないものがある。このことから、Zeus/Zbotの開発作業は今も続いているとしか思えない。