• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. Trojan.Zbot
  4. Trojan.Zbot
  • ブックマーク

Trojan.Zbot

危険度2: 低

発見日:
2010 年 1 月 10 日
更新日:
2014 年 9 月 4 日 1:28:44 AM
別名:
Trojan-Spy:W32/Zbot [F-Secure], PWS-Zbot [McAfee], Trojan-Spy.Win32.Zbot [Kaspersky], Win32/Zbot [Microsoft], Infostealer.Monstres [Symantec], Infostealer.Banker.C [Symantec], Trojan.Wsnpoem [Symantec], Troj/Zbot-LG [Sophos], Troj/Agent-MDL [Sophos], Troj/Zbot-LM [Sophos], Troj/TDSS-BY [Sophos], Troj/Zbot-LO [Sophos], Troj/Buzus-CE [Sophos], Sinowal.WUR [Panda Software], Troj/QakBot-D [Sophos], Troj/Agent-MIR [Sophos], Troj/Qakbot-E [Sophos], Troj/QakBot-G [Sophos], Troj/QakBot-F [Sophos], Troj/Agent-MJS [Sophos], Troj/Agent-MKP [Sophos], Troj/Zbot-ME [Sophos], Troj/Dloadr-CYP [Sophos], Win32/Zbot.WY [Computer Associates], Troj/DwnLdr-IBQ [Sophos], Troj/Zbot-NG [Sophos], W32/Zbot-NI [Sophos], Troj/Zbot-NN [Sophos], Troj/DwnLdr-ICV [Sophos], Troj/DwnLdr-ICY [Sophos], Troj/DwnLdr-IDB [Sophos], Troj/Dldr-DM [Sophos], Troj/Zbot-NR [Sophos], Troj/Zbot-NS [Sophos], Troj/Agent-MWK [Sophos], Troj/FakeAV-BDB [Sophos], Troj/Agent-MYL [Sophos], Troj/Agent-NAX [Sophos], Troj/Zbot-OD [Sophos], Troj/Zbot-OE [Sophos], Troj/Zbot-OT [Sophos], Troj/FakeAV-BGJ [Sophos], Troj/VB-EPV [Sophos], Troj/VB-EQA [Sophos], Troj/Zbot-PE [Sophos], Troj/Zbot-OZ [Sophos], Troj/Zbot-PA [Sophos], Troj/Zbot-OY [Sophos], Troj/FakeAV-BHP [Sophos], Troj/Zbot-OX [Sophos], Troj/Agent-NIV [Sophos], Troj/Zbot-PM [Sophos], Troj/Zbot-PQ [Sophos], Troj/Agent-NKD [Sophos], Troj/Zbot-PP [Sophos], Troj/Zbot-PN [Sophos], Troj/Zbot-PX [Sophos], Troj/Zbot-PW [Sophos], Troj/Zbot-PY [Sophos], Troj/Zbot-PT [Sophos], Troj/Zbot-PV [Sophos], Troj/Zbot-QC [Sophos], Troj/Zbot-QD [Sophos], Troj/Zbot-QK [Sophos], Troj/Zbot-QZ [Sophos], Troj/VB-ERY [Sophos], Troj/Zbot-RA [Sophos], Troj/Zbot-RK [Sophos], Troj/Dloadr-DAD [Sophos], Troj/Zbot-RP [Sophos], Troj/Zbot-RY [Sophos], Troj/Zbot-SC [Sophos], Troj/Zbot-SD [Sophos], Troj/Zbot-SB [Sophos], Troj/Zbot-SF [Sophos], Troj/Zbot-SV [Sophos], Troj/Agent-NUO [Sophos], Troj/Zbot-SP [Sophos], Troj/Meredrop-K [Sophos], Troj/Zbot-SX [Sophos], Troj/Zbot-SY [Sophos], Troj/Zbot-SR [Sophos], Troj/Zbot-TG [Sophos], Troj/Zbot-TQ [Sophos], Troj/Zbot-TY [Sophos], Troj/ZBot-UL [Sophos], Troj/Zbot-VN [Sophos], Troj/Zbot-VM [Sophos], Troj/Zbot-VQ [Sophos], Troj/Zbot-WD [Sophos], Troj/Zbot-WF [Sophos], Troj/Zbot-XA [Sophos], Troj/Agent-OLW [Sophos], Troj/Zbot-XO [Sophos], Troj/Zbot-XN [Sophos], Troj/Zbot-YB [Sophos], Troj/Zbot-YE [Sophos], Troj/Zbot-YO [Sophos], Troj/Zbot-YP [Sophos], Troj/ZBot-ZJ [Sophos], Troj/Zbot-AAN [Sophos], Troj/Zbot-AAM [Sophos], Troj/Zbot-ACI [Sophos], Troj/Zbot-AGC [Sophos], Troj/Zbot-AGJ [Sophos], Troj/Zbot-AHE [Sophos], Troj/Zbot-AHD [Sophos], Troj/Zbot-AIR [Sophos]
種別:
Trojan
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。

感染
コンピュータを侵害するために使われる Trojan.Zbot ファイルは、オンライン犯罪者が利用する闇市場で入手可能なツールキットを使って作成されます。このツールキットにより、攻撃者は、標的とするコンピュータに配布される実行可能ファイルの機能を高度に制御することが可能になります。

このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、多用性があることから他の手段が利用される可能性もあります。ユーザーは、FDIC、IRS、MySpace、Facebook、またはマイクロソフトなどの組織から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。コンピュータが保護されていない場合、ユーザーがそのリンク先を訪問するとコンピュータが侵害されます。


機能
このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格情報、銀行取引の詳細などが対象となりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。それには、トロイの木馬のインストーラにコンパイルされる設定ファイルを変更します。攻撃者が別の情報を収集しようと思えば、後でファイルを更新することもできます。

機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する (ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど) という方法が使われます。

また、Trojan.Zbot は command and control (C&C) サーバーに接続して、追加の機能を実行できるようにします。これにより、リモートの攻撃者は、トロイの木馬に命令して、追加のファイルをダウンロードして実行させたり、コンピュータをシャットダウンまたは再起動させたり、システムファイルを削除して、オペレーティングシステムを再インストールするまでコンピュータを動作不能にすることさえできるようになります。


Zeus と「Kneber」
2010 年 2 月 18 日に、Kneber と呼ばれる新しいボットネットに関するニュースが報道されました。レポートは、75,000 台ものコンピュータがこの新たに発見された脅威に侵害されたと伝えました。実際には、Kneber は Trojan.Zbot に感染した複数のコンピュータで、1 人の所有者によって制御されていたことがわかりました。

2010 年 2 月 23 日には、シマンテックの DeepSight ハニーポットの 1 つが最新バージョンの Trojan.Zbot に侵害されました。この特定のケースでは、Trojan.Zbot は W32.Waledac のコピーもダウンロードしました。Symantec DeepSight Threat Management System をご利用の場合は、こちらからレポート全文 (英語) をお読みいただけます。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。






感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ

ウイルス対策 (ヒューリスティック/汎用)

      ブラウザ保護
      シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


      侵入防止システム (英語)

      ウイルス対策日

      • Rapid Release 初回バージョン2010 年 1 月 7 日 リビジョン037
      • Rapid Release 最新バージョン2014 年 10 月 20 日 リビジョン035
      • Daily Certified 初回バージョン2010 年 1 月 7 日 リビジョン049
      • Daily Certified 最新バージョン2014 年 10 月 20 日 リビジョン037
      • Weekly Certified 初回リリース日2010 年 1 月 13 日
      Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

      危険性の評価

      被害状況

      • 被害レベル:Medium
      • 感染台数:50 - 999
      • 感染報告数:3 - 9
      • 地域危険度:Medium
      • 対処レベル:Easy
      • 駆除:Easy

      ダメージ

      • ダメージレベル:High
      • 発症のタイミング:未承諾メール内のリンクのクリック
      • 発病症状:バックドアを開き、コンピュータから情報を収集し、機密情報を盗み取り、追加のファイルをダウンロードする
      • 秘密情報の漏洩:機密情報を盗み取る

      感染力

      • 感染力レベル:Low
      • メール件名:スパムメールの内容によって異なる
      記述:Ben Nahorney and Nicolas Falliere
      危険性の評価| テクニカルノート| 駆除方法
      スパムレポート