発見日: January 10, 2010
更新日: October 15, 2015 7:32:42 AM
別名: Trojan-Spy:W32/Zbot [F-Secure], PWS-Zbot [McAfee], Trojan-Spy.Win32.Zbot [Kaspersky], Win32/Zbot [Microsoft], Infostealer.Monstres [Symantec], Infostealer.Banker.C [Symantec], Trojan.Wsnpoem [Symantec], Troj/Zbot-LG [Sophos], Troj/Agent-MDL [Sophos], Troj/Zbot-LM [Sophos], Troj/TDSS-BY [Sophos], Troj/Zbot-LO [Sophos], Troj/Buzus-CE [Sophos], Sinowal.WUR [Panda Software], Troj/QakBot-D [Sophos], Troj/Agent-MIR [Sophos], Troj/Qakbot-E [Sophos], Troj/QakBot-G [Sophos], Troj/QakBot-F [Sophos], Troj/Agent-MJS [Sophos], Troj/Agent-MKP [Sophos], Troj/Zbot-ME [Sophos], Troj/Dloadr-CYP [Sophos], Win32/Zbot.WY [Computer Associates], Troj/DwnLdr-IBQ [Sophos], Troj/Zbot-NG [Sophos], W32/Zbot-NI [Sophos], Troj/Zbot-NN [Sophos], Troj/DwnLdr-ICV [Sophos], Troj/DwnLdr-ICY [Sophos], Troj/DwnLdr-IDB [Sophos], Troj/Dldr-DM [Sophos], Troj/Zbot-NR [Sophos], Troj/Zbot-NS [Sophos], Troj/Agent-MWK [Sophos], Troj/FakeAV-BDB [Sophos], Troj/Agent-MYL [Sophos], Troj/Agent-NAX [Sophos], Troj/Zbot-OD [Sophos], Troj/Zbot-OE [Sophos], Troj/Zbot-OT [Sophos], Troj/FakeAV-BGJ [Sophos], Troj/VB-EPV [Sophos], Troj/VB-EQA [Sophos], Troj/Zbot-PE [Sophos], Troj/Zbot-OZ [Sophos], Troj/Zbot-PA [Sophos], Troj/Zbot-OY [Sophos], Troj/FakeAV-BHP [Sophos], Troj/Zbot-OX [Sophos], Troj/Agent-NIV [Sophos], Troj/Zbot-PM [Sophos], Troj/Zbot-PQ [Sophos], Troj/Agent-NKD [Sophos], Troj/Zbot-PP [Sophos], Troj/Zbot-PN [Sophos], Troj/Zbot-PX [Sophos], Troj/Zbot-PW [Sophos], Troj/Zbot-PY [Sophos], Troj/Zbot-PT [Sophos], Troj/Zbot-PV [Sophos], Troj/Zbot-QC [Sophos], Troj/Zbot-QD [Sophos], Troj/Zbot-QK [Sophos], Troj/Zbot-QZ [Sophos], Troj/VB-ERY [Sophos], Troj/Zbot-RA [Sophos], Troj/Zbot-RK [Sophos], Troj/Dloadr-DAD [Sophos], Troj/Zbot-RP [Sophos], Troj/Zbot-RY [Sophos], Troj/Zbot-SC [Sophos], Troj/Zbot-SD [Sophos], Troj/Zbot-SB [Sophos], Troj/Zbot-SF [Sophos], Troj/Zbot-SV [Sophos], Troj/Agent-NUO [Sophos], Troj/Zbot-SP [Sophos], Troj/Meredrop-K [Sophos], Troj/Zbot-SX [Sophos], Troj/Zbot-SY [Sophos], Troj/Zbot-SR [Sophos], Troj/Zbot-TG [Sophos], Troj/Zbot-TQ [Sophos], Troj/Zbot-TY [Sophos], Troj/ZBot-UL [Sophos], Troj/Zbot-VN [Sophos], Troj/Zbot-VM [Sophos], Troj/Zbot-VQ [Sophos], Troj/Zbot-WD [Sophos], Troj/Zbot-WF [Sophos], Troj/Zbot-XA [Sophos], Troj/Agent-OLW [Sophos], Troj/Zbot-XO [Sophos], Troj/Zbot-XN [Sophos], Troj/Zbot-YB [Sophos], Troj/Zbot-YE [Sophos], Troj/Zbot-YO [Sophos], Troj/Zbot-YP [Sophos], Troj/ZBot-ZJ [Sophos], Troj/Zbot-AAN [Sophos], Troj/Zbot-AAM [Sophos], Troj/Zbot-ACI [Sophos], Troj/Zbot-AGC [Sophos], Troj/Zbot-AGJ [Sophos], Troj/Zbot-AHE [Sophos], Troj/Zbot-AHD [Sophos], Troj/Zbot-AIR [Sophos]
種別: Trojan
影響を受けるシステム: Windows

Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。

感染
コンピュータを侵害するために使われる Trojan.Zbot ファイルは、オンライン犯罪者が利用する闇市場で入手可能なツールキットを使って作成されます。このツールキットにより、攻撃者は、標的とするコンピュータに配布される実行可能ファイルの機能を高度に制御することが可能になります。

このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、多用性があることから他の手段が利用される可能性もあります。ユーザーは、FDIC、IRS、MySpace、Facebook、またはマイクロソフトなどの組織から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。コンピュータが保護されていない場合、ユーザーがそのリンク先を訪問するとコンピュータが侵害されます。


機能
このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格情報、銀行取引の詳細などが対象となりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。それには、トロイの木馬のインストーラにコンパイルされる設定ファイルを変更します。攻撃者が別の情報を収集しようと思えば、後でファイルを更新することもできます。

機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する (ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど) という方法が使われます。

また、Trojan.Zbot は command and control (C&C) サーバーに接続して、追加の機能を実行できるようにします。これにより、リモートの攻撃者は、トロイの木馬に命令して、追加のファイルをダウンロードして実行させたり、コンピュータをシャットダウンまたは再起動させたり、システムファイルを削除して、オペレーティングシステムを再インストールするまでコンピュータを動作不能にすることさえできるようになります。


Zeus と「Kneber」
2010 年 2 月 18 日に、Kneber と呼ばれる新しいボットネットに関するニュースが報道されました。レポートは、75,000 台ものコンピュータがこの新たに発見された脅威に侵害されたと伝えました。実際には、Kneber は Trojan.Zbot に感染した複数のコンピュータ で、1 人の所有者によって制御されていたことがわかりました。

2010 年 2 月 23 日には、シマンテックの DeepSight ハニーポットの 1 つが最新バージョンの Trojan.Zbot に侵害されました。この特定のケースでは、Trojan.Zbot は W32.Waledac のコピーもダウンロードしました。Symantec DeepSight Threat Management System をご利用の場合は、こちら からレポート全文 (英語) をお読みいただけます。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。






感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)

      ブラウザ保護
      シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


      侵入防止システム (英語)

      ウイルス対策日

      • Rapid Release 初回バージョン January 07, 2010 リビジョン 037
      • Rapid Release 最新バージョン December 12, 2018 リビジョン 038
      • Daily Certified 初回バージョン January 07, 2010 リビジョン 049
      • Daily Certified 最新バージョン December 12, 2018 リビジョン 036
      • Weekly Certified 初回リリース日 January 13, 2010

      Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

      記述: Ben Nahorney and Nicolas Falliere

      発見日: January 10, 2010
      更新日: October 15, 2015 7:32:42 AM
      別名: Trojan-Spy:W32/Zbot [F-Secure], PWS-Zbot [McAfee], Trojan-Spy.Win32.Zbot [Kaspersky], Win32/Zbot [Microsoft], Infostealer.Monstres [Symantec], Infostealer.Banker.C [Symantec], Trojan.Wsnpoem [Symantec], Troj/Zbot-LG [Sophos], Troj/Agent-MDL [Sophos], Troj/Zbot-LM [Sophos], Troj/TDSS-BY [Sophos], Troj/Zbot-LO [Sophos], Troj/Buzus-CE [Sophos], Sinowal.WUR [Panda Software], Troj/QakBot-D [Sophos], Troj/Agent-MIR [Sophos], Troj/Qakbot-E [Sophos], Troj/QakBot-G [Sophos], Troj/QakBot-F [Sophos], Troj/Agent-MJS [Sophos], Troj/Agent-MKP [Sophos], Troj/Zbot-ME [Sophos], Troj/Dloadr-CYP [Sophos], Win32/Zbot.WY [Computer Associates], Troj/DwnLdr-IBQ [Sophos], Troj/Zbot-NG [Sophos], W32/Zbot-NI [Sophos], Troj/Zbot-NN [Sophos], Troj/DwnLdr-ICV [Sophos], Troj/DwnLdr-ICY [Sophos], Troj/DwnLdr-IDB [Sophos], Troj/Dldr-DM [Sophos], Troj/Zbot-NR [Sophos], Troj/Zbot-NS [Sophos], Troj/Agent-MWK [Sophos], Troj/FakeAV-BDB [Sophos], Troj/Agent-MYL [Sophos], Troj/Agent-NAX [Sophos], Troj/Zbot-OD [Sophos], Troj/Zbot-OE [Sophos], Troj/Zbot-OT [Sophos], Troj/FakeAV-BGJ [Sophos], Troj/VB-EPV [Sophos], Troj/VB-EQA [Sophos], Troj/Zbot-PE [Sophos], Troj/Zbot-OZ [Sophos], Troj/Zbot-PA [Sophos], Troj/Zbot-OY [Sophos], Troj/FakeAV-BHP [Sophos], Troj/Zbot-OX [Sophos], Troj/Agent-NIV [Sophos], Troj/Zbot-PM [Sophos], Troj/Zbot-PQ [Sophos], Troj/Agent-NKD [Sophos], Troj/Zbot-PP [Sophos], Troj/Zbot-PN [Sophos], Troj/Zbot-PX [Sophos], Troj/Zbot-PW [Sophos], Troj/Zbot-PY [Sophos], Troj/Zbot-PT [Sophos], Troj/Zbot-PV [Sophos], Troj/Zbot-QC [Sophos], Troj/Zbot-QD [Sophos], Troj/Zbot-QK [Sophos], Troj/Zbot-QZ [Sophos], Troj/VB-ERY [Sophos], Troj/Zbot-RA [Sophos], Troj/Zbot-RK [Sophos], Troj/Dloadr-DAD [Sophos], Troj/Zbot-RP [Sophos], Troj/Zbot-RY [Sophos], Troj/Zbot-SC [Sophos], Troj/Zbot-SD [Sophos], Troj/Zbot-SB [Sophos], Troj/Zbot-SF [Sophos], Troj/Zbot-SV [Sophos], Troj/Agent-NUO [Sophos], Troj/Zbot-SP [Sophos], Troj/Meredrop-K [Sophos], Troj/Zbot-SX [Sophos], Troj/Zbot-SY [Sophos], Troj/Zbot-SR [Sophos], Troj/Zbot-TG [Sophos], Troj/Zbot-TQ [Sophos], Troj/Zbot-TY [Sophos], Troj/ZBot-UL [Sophos], Troj/Zbot-VN [Sophos], Troj/Zbot-VM [Sophos], Troj/Zbot-VQ [Sophos], Troj/Zbot-WD [Sophos], Troj/Zbot-WF [Sophos], Troj/Zbot-XA [Sophos], Troj/Agent-OLW [Sophos], Troj/Zbot-XO [Sophos], Troj/Zbot-XN [Sophos], Troj/Zbot-YB [Sophos], Troj/Zbot-YE [Sophos], Troj/Zbot-YO [Sophos], Troj/Zbot-YP [Sophos], Troj/ZBot-ZJ [Sophos], Troj/Zbot-AAN [Sophos], Troj/Zbot-AAM [Sophos], Troj/Zbot-ACI [Sophos], Troj/Zbot-AGC [Sophos], Troj/Zbot-AGJ [Sophos], Troj/Zbot-AHE [Sophos], Troj/Zbot-AHD [Sophos], Troj/Zbot-AIR [Sophos]
      種別: Trojan
      影響を受けるシステム: Windows

      1. 防御と回避
      1.1 ユーザーの対処と予防策
      1.2 オペレーティングシステムとソフトウェアへのパッチの適用
      2. 感染方法
      2.1 スパム電子メール
      2.2 ドライブバイダウンロード
      3. 機能
      3.1 ツールキット
      3.2 システムの変更
      3.3 Command and Control サーバー
      3.4 情報収集
      3.5 パスワードの盗み取り
      4. 追加情報



      1. 防御と回避

      この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


      1.1 ユーザーの対処と予防策

      Trojan.Zbot は、ソーシャルエンジニアリング手法を活用してコンピュータに感染します。スパムメール攻撃では、最新のニューストピックを引用したり、ユーザーの秘密情報が盗まれたと偽って不安に陥れたり、不名誉な写真を撮られたと知らせたり、その他さまざまな策略を駆使してユーザーをだまそうと試みます。

      上記のような電子メールに含まれるリンクには警戒する必要があります。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。また、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。


      1.2 オペレーティングシステムとソフトウェアへのパッチの適用
      この脅威を操る攻撃者は、エクスプロイトパックを使って Web ページを細工し、コンピュータの脆弱性を悪用して Trojan.Zbot に感染させることが確認されています。

      2010 年 2 月 24 日現在、Trojan.Zbot が次の脆弱性 (英語) を悪用していることが確認されています。


      オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアとファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。



      2. 感染方法
      この脅威は、さまざまな方法でコンピュータに感染することが確認されています。それらの方法について、詳細に説明します。


      2.1 スパム電子メール
      Trojan.Zbot を操る攻撃者たちは、スパム攻撃を利用してこの脅威を拡散しようと努めてきました。電子メールの内容は攻撃によって異なりますが、最新のイベントで関心を引いたり、FDIC、IRS、MySpace、Facebook、またはマイクロソフトなどの知名度の高い企業や団体から送信されたように見せかけた電子メールでユーザーをだまそうと試みます。







      2.2 ドライブバイダウンロード

      Trojan.Zbot の作成者は、エクスプロイトパックを利用して、ドライブバイダウンロード攻撃によってこの脅威を拡散することも確認されています。疑いを持たないユーザーが攻撃者の Web サイトを訪れると、脆弱なコンピュータはこの脅威に感染します。

      脅威を拡散するために悪用されるエクスプロイトは、トロイの木馬が配布される時点で実際に利用可能なエクスプロイトの拡散と扱いやすさによって変化します。

      2010 年 2 月 24 日現在、Trojan.Zbot が次の脆弱性 (英語) を悪用していることが確認されています。



      3. 機能
      Zeus は、ツールキット、トロイの木馬、Command and Control (C&C) サーバーの 3 つの要素で構成されます。ツールキットはこの脅威を作成するために使われ、トロイの木馬は侵入先のコンピュータを変更し、C&C サーバーはトロイの木馬を監視して制御するために使われます。

      次のビデオ (英語) は、Zeus のこの特徴について説明しています。
      Zeus: King of crimeware toolkits


      3.1 ツールキット
      Trojan.Zbot は、オンライン犯罪者が利用する闇市場で簡単に入手できるツールキットを利用して作成されます。無料のもの (多くはバックドア型) から、攻撃者が 700 米ドルの使用料を支払う必要があるものまで、さまざまなバージョンがあります。また、そのような市場では、C&C サーバーの防弾ホスティングから構築済みのボットネットのレンタルまで、さまざまな Zeus 関連サービスが提供されています。



      バージョンに関係なく、ツールキットには次の 2 つの用途があります。1 つ目は、設定ファイルを編集して .bin ファイルにコンパイルするという用途。2 つ目は、実行可能ファイルを編集し、さまざまな方法で標的に送信するという用途です。この実行可能ファイルが、一般にトロイの木馬の Zeus または Trojan.Zbot として知られているファイルです。




      ツールキットのユーザーインターフェースは大変使いやすいため、専門技能のない犯罪初心者でも簡単にすばやく行動を起こすことができます。加えて、このツールキットの違法コピーが大量にブラックマーケットに出回っていることから、Trojan.Zbot は最もポピュラーで、広範囲にわたって勢力を拡大しているトロイの木馬の 1 つであり続けています。


      3.2 システムの変更
      最近の脅威には珍しく、Trojan.Zbot は、複数の亜種で同じファイル名を使う傾向があります。ツールキットの動作方法から、各バージョンでは、実行可能ファイルが作成されたときに付けられた名前と同じファイル名が使われていることがわかります。最初の実行可能ファイルは、攻撃者が自由に名前を付けることができますが、次のサブセクションで説明するファイルについては、現在知られているツールキットで使われる名前を引用しています。


      ユーザーアカウント権限
      Trojan.Zbot が自分自身をインストールするロケーションは、感染の時点でログインしているユーザーの権限レベルに直接関係しています。ユーザーが管理者の場合は、このファイルは %System% フォルダに置かれます。管理者以外の場合は、%UserProfile%\Application Data フォルダにコピーされます。


      トロイの木馬の実行可能ファイル
      Trojan.Zbot は、一般に次のいずれかのファイル名を使って自分自身のコピーを作成します。
      • ntos.exe
      • oembios.exe
      • twext.exe
      • sdra64.exe
      • pdfupd.exe


      設定ファイル
      この脅威は、%System% フォルダまたは %UserProfile%\Application Data フォルダに「lowsec」という名前のフォルダを作成し、次のいずれかのファイルをそのフォルダに投下します。
      • video.dll
      • sysproc32.sys
      • user.ds
      • ldx.exe

      拡張子は異なりますが、上記のファイルはすべて、以前に作成され、Zeus ツールキットを使ってこのトロイの木馬にコンパイルされた設定ファイルのテキストファイルバージョンです。このファイルには、監視する Web ページと、セキュリティ会社の Web サイトなどのブロックする Web サイトのリストが含まれます。この脅威のバックドア機能を使って、攻撃者はこのファイルも更新する可能性があります。

      設定ファイルのサンプルの一部を次に示します。

      Entry "DynamicConfig"
      url_loader "http://[中略].com/zeusbot/ZuesBotTrojan.exe"
      url_server "http://[中略].com/zeusbot/gate.php"
      file_webinjects "webinjects.txt"
      entry "AdvancedConfigs"
      ;
      end
      entry "WebFilters"
      "!http://[中略].com"
      "https:// [中略].com/*"
      "!http://[中略].ru/*"
      end
      entry "WebDataFilters"
      ; "!http://[中略].ru/*" "passw;login"
      end
      entry "WebFakes"
      ; "http://[中略].com" "http://[中略].com" "GP" "" ""
      end
      entry "TANGrabber"
      "https://[中略].com/*/jba/mp#/SubmitRecap.do" "S3C6R2" "SYNC_TOKEN=*" "*"
      end
      entry "DnsMap"
      ;127.0.0.1
      end
      end


      盗み取ったデータの保存用ファイル

      次のいずれかのファイル名で、2 つ目のファイルが 「lowsec」フォルダに投下されます。
      • audio.dll
      • sysproc86.sys
      • local.ds

      このファイルは、盗み取った情報の保存用テキストファイルとして使われます。この脅威によって取得されたパスワードはこのファイルに保存され、後で攻撃者に送信されます。


      作成されるレジストリサブキーとレジストリエントリ
      また、この脅威は、次のいずれかのサブキーを使ってレジストリに自分自身を追加し、Windows が起動されたときに自分自身が実行されるようにします。

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\sdra64.exe"
      • HKEY_CURRENT_USER\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run\"userinit" = "%UserProfile%\Application Data\sdra64.exe"

      感染時のログインアカウントが管理者権限であれば、1 つ目のエントリが作成されます。非特権のアカウントであれば、2 つ目のエントリが採用されます。


      サービスへの挿入
      Trojan.Zbot は、権限レベルに応じて次のいずれかのサービスに自分自身を挿入します。管理者権限のアカウントの場合、この脅威は winlogon.exe サービスに自分自身を挿入します。それ以外の場合は、explorer.exe サービスに自分自身を挿入しようと試みます。

      この脅威は、svchost.exe サービスにもコードを挿入し、後で口座情報を盗み取る際に使います。


      3.3 Command and Control (C&C) サーバー
      Trojan.Zbot がインストールされると、ツールキットを使って実行可能ファイルがいつ作成されたかを、設定ファイルで指定された C&C サーバーにレポートします。最初にチェックするのは、設定ファイルの更新バージョンです。


      バックドア
      C&C サーバーへのバックドアは、攻撃者が侵入先のコンピュータを利用するためのさまざまなオプションを提供します。たとえば、攻撃者が希望すれば、次の操作を実行することができます。
      • コンピュータを再起動またはシャットダウンする
      • システムファイルを削除してコンピュータを使えなくする
      • 特定の URL へのアクセスを無効にしたり、復元したりする
      • 悪質な HTML コンテンツを定義済みの URL と一致するページに挿入する
      • ファイルをダウンロードして実行する
      • ローカルファイルを実行する
      • ローカル検索用のファイルマスクを追加または削除する (この脅威のファイルを隠す場合など)
      • ファイルやフォルダをアップロードする
      • デジタル証明書を盗み取る
      • 設定ファイルを更新する
      • ボットの実行可能ファイルの名前を変更する
      • Flash cookie をアップロードまたは削除する
      • Internet Explorer のスタートページを変更する

      バックドアが接続するドメインは、攻撃者が設定ファイルに記述した内容によって異なります。


      サーバー側の制御パネル
      C&C サーバーによって、攻撃者は侵入先のコンピュータ上でさまざまな機能を実行できるだけでなく、Zeus に感染したコンピュータのボットネットを管理することもできるようになります。攻撃者は、自分が管理するコンピュータの感染数の統計を監視したり、ボットが収集した情報でレポートを作成することができます。








      3.4 情報収集
      Trojan.Zbot がインストールされると、侵入先のコンピュータに関するさまざまな情報を自動的に収集して、その後 C&C サーバーに送信します。これには、次の情報が含まれます。
      • 一意のボット ID 文字列
      • ボットネットの名前
      • ボットのバージョン
      • オペレーティングシステムのバージョン
      • オペレーティングシステムの言語
      • 侵入先のコンピュータの現地時刻
      • ボットのアップタイム
      • 最終レポート時刻
      • 侵入先のコンピュータの国名
      • 侵入先のコンピュータの IP アドレス
      • プロセス名


      3.5 パスワードの盗み取り
      Trojan.Zbot の主要目的は、パスワードを盗み取ることであり、これにはさまざまな手法が使われます。

      Trojan.Zbot がインストールされると、直ちに Protected Storage (PStore) でパスワードをチェックします。特に Internet Explorer で使われるパスワード、FTP および POP アカウントのパスワードが標的となります。また、Internet Explorer に保存された cookie を削除します。これにより、ユーザーは何度も閲覧したことのある Web サイトでも再度ログインする必要が生じるため、この脅威はその機会にログイン資格情報を記録することが可能になります。

      この脅威がパスワードの盗み取りに用いるより汎用的な手法は、Web の閲覧中に設定ファイルの指示によって実行されます。攻撃者は、設定ファイルを生成する際、監視したい URL をそのファイルに含めることができます。ユーザーがその URL を訪問すると、この脅威はそのページに入力されたユーザー名とパスワードを収集します。これは、さまざまな DLL の関数をフックしてネットワーク機能を制御することによって実行されます。Trojan.Zbot によって使われる DLL と API のリストを次に示します。

      WININET.DLL
      • HttpSendRequestW
      • HttpSendRequestA
      • HttpSendRequestExW
      • HttpSendRequestExA
      • InternetReadFile
      • InternetReadFileExW
      • InternetReadFileExA
      • InternetQueryDataAvailable
      • InternetCloseHandle

      WS2_32.DLL と WSOCK32.DLL
      • send
      • sendto
      • closesocket
      • WSASend
      • WSASendTo

      USER32.DLL
      • GetMessageW
      • GetMessageA
      • PeekMessageW
      • PeekMessageA
      • GetClipboardData

      また、Trojan.Zbot は監視している Web ページにフィールドを挿入することもできます。これは、侵入先のコンピュータへの応答を遮断して、そのページに追加のフィールドを挿入することによって実行されます。たとえば、あるバンキングサイトで特定のページを要求すると、ユーザー名とパスワードの入力が求められるとします。そのページを遮断して 3 番目のフィールドを挿入し、ユーザーに社会保障番号を入力させるように設定することができます。







      4. 追加情報
      この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

      推奨する感染予防策

      Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

      • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
      • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
      • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
      • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
      • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
      • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
      • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
      • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
      • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
      • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
      • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
      • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
      • For further information on the terms used in this document, please refer to the Security Response glossary.

      記述: Ben Nahorney and Nicolas Falliere

      発見日: January 10, 2010
      更新日: October 15, 2015 7:32:42 AM
      別名: Trojan-Spy:W32/Zbot [F-Secure], PWS-Zbot [McAfee], Trojan-Spy.Win32.Zbot [Kaspersky], Win32/Zbot [Microsoft], Infostealer.Monstres [Symantec], Infostealer.Banker.C [Symantec], Trojan.Wsnpoem [Symantec], Troj/Zbot-LG [Sophos], Troj/Agent-MDL [Sophos], Troj/Zbot-LM [Sophos], Troj/TDSS-BY [Sophos], Troj/Zbot-LO [Sophos], Troj/Buzus-CE [Sophos], Sinowal.WUR [Panda Software], Troj/QakBot-D [Sophos], Troj/Agent-MIR [Sophos], Troj/Qakbot-E [Sophos], Troj/QakBot-G [Sophos], Troj/QakBot-F [Sophos], Troj/Agent-MJS [Sophos], Troj/Agent-MKP [Sophos], Troj/Zbot-ME [Sophos], Troj/Dloadr-CYP [Sophos], Win32/Zbot.WY [Computer Associates], Troj/DwnLdr-IBQ [Sophos], Troj/Zbot-NG [Sophos], W32/Zbot-NI [Sophos], Troj/Zbot-NN [Sophos], Troj/DwnLdr-ICV [Sophos], Troj/DwnLdr-ICY [Sophos], Troj/DwnLdr-IDB [Sophos], Troj/Dldr-DM [Sophos], Troj/Zbot-NR [Sophos], Troj/Zbot-NS [Sophos], Troj/Agent-MWK [Sophos], Troj/FakeAV-BDB [Sophos], Troj/Agent-MYL [Sophos], Troj/Agent-NAX [Sophos], Troj/Zbot-OD [Sophos], Troj/Zbot-OE [Sophos], Troj/Zbot-OT [Sophos], Troj/FakeAV-BGJ [Sophos], Troj/VB-EPV [Sophos], Troj/VB-EQA [Sophos], Troj/Zbot-PE [Sophos], Troj/Zbot-OZ [Sophos], Troj/Zbot-PA [Sophos], Troj/Zbot-OY [Sophos], Troj/FakeAV-BHP [Sophos], Troj/Zbot-OX [Sophos], Troj/Agent-NIV [Sophos], Troj/Zbot-PM [Sophos], Troj/Zbot-PQ [Sophos], Troj/Agent-NKD [Sophos], Troj/Zbot-PP [Sophos], Troj/Zbot-PN [Sophos], Troj/Zbot-PX [Sophos], Troj/Zbot-PW [Sophos], Troj/Zbot-PY [Sophos], Troj/Zbot-PT [Sophos], Troj/Zbot-PV [Sophos], Troj/Zbot-QC [Sophos], Troj/Zbot-QD [Sophos], Troj/Zbot-QK [Sophos], Troj/Zbot-QZ [Sophos], Troj/VB-ERY [Sophos], Troj/Zbot-RA [Sophos], Troj/Zbot-RK [Sophos], Troj/Dloadr-DAD [Sophos], Troj/Zbot-RP [Sophos], Troj/Zbot-RY [Sophos], Troj/Zbot-SC [Sophos], Troj/Zbot-SD [Sophos], Troj/Zbot-SB [Sophos], Troj/Zbot-SF [Sophos], Troj/Zbot-SV [Sophos], Troj/Agent-NUO [Sophos], Troj/Zbot-SP [Sophos], Troj/Meredrop-K [Sophos], Troj/Zbot-SX [Sophos], Troj/Zbot-SY [Sophos], Troj/Zbot-SR [Sophos], Troj/Zbot-TG [Sophos], Troj/Zbot-TQ [Sophos], Troj/Zbot-TY [Sophos], Troj/ZBot-UL [Sophos], Troj/Zbot-VN [Sophos], Troj/Zbot-VM [Sophos], Troj/Zbot-VQ [Sophos], Troj/Zbot-WD [Sophos], Troj/Zbot-WF [Sophos], Troj/Zbot-XA [Sophos], Troj/Agent-OLW [Sophos], Troj/Zbot-XO [Sophos], Troj/Zbot-XN [Sophos], Troj/Zbot-YB [Sophos], Troj/Zbot-YE [Sophos], Troj/Zbot-YO [Sophos], Troj/Zbot-YP [Sophos], Troj/ZBot-ZJ [Sophos], Troj/Zbot-AAN [Sophos], Troj/Zbot-AAM [Sophos], Troj/Zbot-ACI [Sophos], Troj/Zbot-AGC [Sophos], Troj/Zbot-AGJ [Sophos], Troj/Zbot-AHE [Sophos], Troj/Zbot-AHD [Sophos], Troj/Zbot-AIR [Sophos]
      種別: Trojan
      影響を受けるシステム: Windows

      お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

      次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



      Norton (個人向け) 製品のお客様
      お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


      駆除ツール


      感染した Windows システムファイルがある場合は、Windows のインストール CD を使ってファイルを置き換える ことが必要な場合があります。


      感染のリスクを軽減する方法
      感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


      ビジネス (企業、法人向け) 製品のお客様
      お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。


      疑わしいファイルの特定と提出
      提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


      駆除ツール

      感染した Windows システムファイルがある場合は、Windows のインストール CD を使ってファイルを置き換える ことが必要な場合があります。


      感染のリスクを軽減する方法
      感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
      セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



      手動による駆除
      以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。


      1. システムの完全スキャンの実行
      Symantec Full System Scan User Guide (英語)


      2. レジストリの設定の復元
      レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

      記述: Ben Nahorney and Nicolas Falliere