検索:
ホーム   »   不正プログラム   »   ワーム機能を備えるオンライン銀行詐欺ツール「ZBOT」の亜種を確認

ワーム機能を備えるオンライン銀行詐欺ツール「ZBOT」の亜種を確認

  • 投稿日:2013年6月13日
  • 脅威カテゴリ:不正プログラム, メール, リムーバブル, TrendLabs Report, Webからの脅威, 攻撃手法, 感染媒体
  • 執筆:Technical Communications - Abigail Pichel
0

「TrendLabs(トレンドラボ)」は、2013年5月29日のブログ記事で、オンライン銀行詐欺ツール「ZBOT」が、この2013年に入って、再来していることを報告しました。「ZBOT」がソーシャル・ネットワーキング・サービス(SNS)「Facebook」を介して拡散しているという報道は、この事実の裏付けの一つと言えます。そして今回、トレンドラボは、自ら拡散機能を備える新たな「ZBOT」の亜種を確認しました。

この「ZBOT」の亜種は、売上送り状を装う不正な PDF ファイルとしてコンピュータに侵入します。ユーザが “Adobe Reader” を使用し問題のファイルを開くと、以下のポップアップウインドウが表示されることとなります。

図1:不正な PDF ファイルの実行において表示されたエラーメッセージ
図1:不正な PDF ファイルの実行において表示されたエラーメッセージ

このエラーメッセージが表示される間、「ZBOT」の亜種である「WORM_ZBOT.GJ」がコンピュータ上に作成され、実行されます。そして、これまでと異なる複数の活動を行います。

まず第1に、「WORM_ZBOT.GJ」は、「Web からの脅威」の活動、つまり自身のコピーの更新版をダウンロード、実行するといった自動更新機能を備えています。そして第2に、USB ドライブのようなリムーバブルドライブを介して他のコンピュータへと感染する USB ワームの活動も併せ持っています。感染するとリムーバブルドライブを検索し、そこに自身のコピーを含む隠しフォルダを作成します。またそのコピーへと誘導するショートカットファイルも作成します。

この場合ワームは、リムーバブルドライブを検索し、そこに自身のコピーを含む隠しフォルダを作成します。またそのコピーへと誘導するショートカットファイルも作成します。

図2:「WORM_ZBOT.GJ」の感染フロー
図2:「WORM_ZBOT.GJ」の感染フロー

図3:自身のコピーを作成する「WORM_ZBOT.GJ」のコードの一部
図3:自身のコピーを作成する「WORM_ZBOT.GJ」のコードの一部

これまでの「ZBOT」は通常、エクスプロイトキットや不正な添付ファイルによって拡散されていました。今回の「ZBOT」の USB ワーム活動は、通常と異なる予想外のものといえるでしょう。しかしこのような脅威の挙動の変化は、「2013年の脅威は何か? トレンドマイクロのセキュリティ予測」のなかで、従来の脅威がさらに攻撃性を高めるために改良され再登場する、として言及されていました。なお過去においては、「ZBOT」の亜種のなかには、拡散のためにファイル感染活動を利用するものもありました。

これらの脅威は、犯罪に利用されるツールキットの全体像に対する新たな変化です。詳しくは、リサーチペーパー「The Crimeware Evolution」(英語情報)をご参照ください。リムーバブルドライブを介した感染活動も、「Web からの脅威」的な自動更新機能も特別目新しいものではありません。多くの不正プログラムは、これまでもこのような不正活動を行ってきました。そのような以前の脅威の中でもとりわけ注目すべきは、「DOWNAD(別名:Conficker)」です。「DOWNAD」は、USB ワームと Web からの脅威、両方の活動を大変効果的に利用した脅威でした。これにより「DOWNAD」は、2008年の登場以来今日に至るまで大きな影響を与える脅威であり続け、2012年においてもアメリカ・カリブ海地域のトップ10不正プログラムに登場しています。つまり同様の活動的特徴を持つ「ZBOT」も、この先継続して感染が増加していくことが十分に考えられます。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また「ファイルレピュテーション」技術により、「WORM_ZBOT.GJ」を検出します。トレンドラボは、ユーザ保護のため、引き続きこの脅威に関する情報を随時更新していきます。

※協力執筆者:Joie Salvio(Threat Response Engineer)および Alvin Bacani(Research Engineer)

参考記事:

  • 「Going Solo: Self-Propagating ZBOT Malware Spotted」
     by Abigail Pichel (Technical Communications)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 米国大統領選挙を悪用するWebからの脅威
    2. チベット、再び標的型攻撃に利用される。Macユーザも影響あり
    3. 「Whitehole Exploit Kit」の出現
    4. 悪名高いRAT「Gh0st RAT」、台湾を狙う標的型攻撃で利用される


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.