Symantec Security Response Weblog
A Brief Look at Zeus/Zbot 2.0」より
May 3、2010 Posted by Karthik Selvaraj

 「Zeus/Zbot」は、現在インターネットに出回っている脅威の中で最も知名度の高いものの一つだ。2007年ころに登場して徐々に進化してきたが、さらに高い感染拡大能力を持つ強力なトロイの木馬を目指して今でも開発が続けられている(関連記事:拡大する「ZBOT」の脅威 「運び屋」が担う役割とは?「SpyEye」と「Zeus」の両ボットを比較)。

 我々は数週間前、Zeusボットネットに関連する不正プログラム「Zbot」の亜種を見つけた。この事実から、Zeus/Zbotの感染技術と挙動に関するコードリファクタリング作業と機能の各種変更作業が継続中であると分かる。現在この亜種は(トロイの木馬作成キットのバージョンにちなんで)「バージョン2.0」と呼ばれている。

 平均レベルのパソコンユーザーのために、まずこの変更による影響を整理しておく。

・1台のパソコンに複数のZbotが感染できるようになった。つまり、被害者の個人情報が複数のZbotコントーラーに送られる
・「Firefox」だけでなくほかのWebブラウザーから情報を盗もうとする
・「Windows 7」など新しいOSでも動くように機能を強化した
・開発が続けられているため、まだ数年は活動し続ける可能性がある
・手作業でZbotを削除しようとしても一筋縄ではいかない。「Zeusを抹殺できる」としている別の脅威も簡単には削除に成功しない

 次にバージョン2.0の変更内容を簡単に示そう。Zeusに詳しくない場合は、我々が以前公開したZeusのレポートに目を通してほしい「Zeus:King of the Bots(Zeus:ボットの王者)」(PDF形式、関連記事:トロイの木馬作成ツール「Zeus」,アングラ犯罪ソフト・ツールキット界の王者)。

対応「コマンド」

・バージョン2.0で変更されたZeus/Zbot内蔵コマンドを以下の表にまとめ、バージョン1.xと比較した。

バージョン2.0のコマンド 機能 バージョン1.xのコマンド
user_flashplayer_get ユーザーのパソコンからFlashプレーヤーのデータを取得する --
user_ftpclients_get 「FlashFXP」「total_commander」「ws_ftp」「fileZilla」「FAR2」「winscp」「ftp_commander」「coreFTP」「smartftp」といったツールからパスワードを盗む Resetgrab
user_homepage_set Webブラウザーのホームページに任意のURLを設定する Sethomepage
user_url_unblock 任意のURLに対するアクセスを回復させる Unblock_url
user_url_block 任意のURLに対するアクセスを無効化する Block_url
user_certs_remove ログイン情報を削除する --
user_certs_get デジタル証明書を盗む Getcerts
user_cookies_remove Webブラウザーのクッキーを削除する Delmff(限定的な機能だった)
user_cookies_get クッキーをアップロードする Getmff(限定的な機能だった)
user_execute ファイルをダウンロード/実行する 「Rexec」と「Lexec」、「Lexeci」を組み合わせて実現
user_logoff ユーザーをログオフさせる --
bot_bc_remove バックドアーのコネクションを切る Bc_del
bot_bc_add サーバーと接続し直してバックドアーを起動し、コマンドシェルで任意のコマンドを実行できる状態にする Bc_add
bot_update ボット設定情報をダウンロード/アップデートし(レジストリへの設定も行う)、新しいボット用インストーラーをダウンロード/実行する 「Upcfg」と「Rename_bot」を組み合わせて実現
bot_uninstall ボットを完全に削除する --
os_reboot パソコンを再起動する Reboot
os_shutdown パソコンをシャットダウンする Shutdown
user_destroy ユーザーの全ファイルを削除する機能らしい(ただし未実装) Kos
fs_search_remove ローカル検索用ファイルマスクを削除する機能らしい(ただし未実装) Delsf
fs_search_add ローカル検索用ファイルマスクを追加する機能らしい(ただし未実装) Addsf
fs_path_get ファイルまたはフォルダーをアップロードする機能らしい(ただし未実装) Getfile
bot_httpinject_disable http挿入を無効化する機能らしい(ただし未実装) Block_fake
bot_httpinject_enable http挿入を可能にする機能らしい(ただし未実装) Unlock_url
表1●内蔵コマンドの比較(バージョン2.0と1.xの比較)

・バージョン2.0用コマンドの中には、現時点でまだ実装されていないものがある。このことから、Zeus/Zbotの開発作業は今も続いているとしか思えない。