EMCジャパンのRSA事業本部は2014年3月5日、新たなウイルス(マルウエア、トロイの木馬)が確認されたとして注意を呼びかけた。攻撃者から送られるコマンド(命令)を画像ファイルに仕込んで検出されないようにすることが特徴。
今回報告されたのは、「Stegano-Zeus」と名付けられたウイルス。「Zeus」と呼ばれるウイルスの亜種である。Stegano-Zeusは、ほかのZeusの亜種と同様に、C&Cサーバー(コマンド・アンド・コントロール・サーバー)から送られる攻撃者のコマンドに従って動作する。つまり、「ボット」として動作する。例えば、コマンドによって自分自身や攻撃対象のリストをアップデートする。キーロガーやWebカメラなどを起動するコマンドが送られる場合もある。
Stegano-Zeusが今までのボットと異なるのは、攻撃者からのコマンドを画像の中に仕込むこと。通常は、コマンドをテキスト情報として送信する。このため、ネットワークの管理者がトラフィックを監視している場合などには、怪しい通信として検出され、Stegano-ZeusがPCに感染していることを気付かれる恐れがある。
一方、画像ファイルは、Webの閲覧により頻繁にダウンロードされるために、怪しまれる可能性が低いという。コマンドは、画像ファイルのコメントフィールド(コメントセグメント)に入っていて、画像の表示には影響を与えない。RSA事業本部の情報では、女性の“セクシーな画像”に仕込まれた例を紹介している(画面1)。
また、今回確認されたStegano-Zeusが使うC&CサーバーにWebブラウザーでアクセスすると、捜査当局によって閉鎖されたように見せかけるWebページが表示される(画面2)。しかしながらこれはダミーであり、実際の閉鎖サイトで表示される画面とは全く異なるという。
