Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。
感染コンピュータを侵害するために使われる Trojan.Zbot ファイルは、オンライン犯罪者が利用する闇市場で入手可能なツールキットを使って作成されます。このツールキットにより、攻撃者は、標的とするコンピュータに配布される実行可能ファイルの機能を高度に制御することが可能になります。
このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、多用性があることから他の手段が利用される可能性もあります。ユーザーは、FDIC、IRS、MySpace、Facebook、またはマイクロソフトなどの組織から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。コンピュータが保護されていない場合、ユーザーがそのリンク先を訪問するとコンピュータが侵害されます。
機能このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格情報、銀行取引の詳細などが対象となりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。それには、トロイの木馬のインストーラにコンパイルされる設定ファイルを変更します。攻撃者が別の情報を収集しようと思えば、後でファイルを更新することもできます。
機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する (ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど) という方法が使われます。
また、Trojan.Zbot は command and control (C&C) サーバーに接続して、追加の機能を実行できるようにします。これにより、リモートの攻撃者は、トロイの木馬に命令して、追加のファイルをダウンロードして実行させたり、コンピュータをシャットダウンまたは再起動させたり、システムファイルを削除して、オペレーティングシステムを再インストールするまでコンピュータを動作不能にすることさえできるようになります。
Zeus と「Kneber」2010 年 2 月 18 日に、Kneber と呼ばれる新しいボットネットに関するニュースが報道されました。レポートは、75,000 台ものコンピュータがこの新たに発見された脅威に侵害されたと伝えました。実際には、
Kneber は Trojan.Zbot に感染した複数のコンピュータで、1 人の所有者によって制御されていたことがわかりました。
2010 年 2 月 23 日には、シマンテックの DeepSight ハニーポットの 1 つが最新バージョンの Trojan.Zbot に侵害されました。この特定のケースでは、Trojan.Zbot は W32.Waledac のコピーもダウンロードしました。Symantec DeepSight Threat Management System をご利用の場合は、
こちらからレポート全文 (英語) をお読みいただけます。
地理的分布シマンテックでは、この脅威について、次の地理的分布を観測しています。
感染率シマンテックでは、この脅威について、次の感染レベルを観測しています。
シマンテックの保護対策の概要シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。
ウイルス対策シグネチャウイルス対策 (ヒューリスティック/汎用)ブラウザ保護シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。
侵入防止システム (英語)
