「TrendLabs(トレンドラボ)」は、2013年5月29日のブログ記事で、オンライン銀行詐欺ツール「ZBOT」が、この2013年に入って、再来していることを報告しました。「ZBOT」がソーシャル・ネットワーキング・サービス(SNS)「Facebook」を介して拡散しているという報道は、この事実の裏付けの一つと言えます。そして今回、トレンドラボは、自ら拡散機能を備える新たな「ZBOT」の亜種を確認しました。
この「ZBOT」の亜種は、売上送り状を装う不正な PDF ファイルとしてコンピュータに侵入します。ユーザが “Adobe Reader” を使用し問題のファイルを開くと、以下のポップアップウインドウが表示されることとなります。
 |
|
|
このエラーメッセージが表示される間、「ZBOT」の亜種である「WORM_ZBOT.GJ」がコンピュータ上に作成され、実行されます。そして、これまでと異なる複数の活動を行います。
まず第1に、「WORM_ZBOT.GJ」は、「Web からの脅威」の活動、つまり自身のコピーの更新版をダウンロード、実行するといった自動更新機能を備えています。そして第2に、USB ドライブのようなリムーバブルドライブを介して他のコンピュータへと感染する USB ワームの活動も併せ持っています。感染するとリムーバブルドライブを検索し、そこに自身のコピーを含む隠しフォルダを作成します。またそのコピーへと誘導するショートカットファイルも作成します。
この場合ワームは、リムーバブルドライブを検索し、そこに自身のコピーを含む隠しフォルダを作成します。またそのコピーへと誘導するショートカットファイルも作成します。
 |
|
|
 |
|
|
これまでの「ZBOT」は通常、エクスプロイトキットや不正な添付ファイルによって拡散されていました。今回の「ZBOT」の USB ワーム活動は、通常と異なる予想外のものといえるでしょう。しかしこのような脅威の挙動の変化は、「2013年の脅威は何か? トレンドマイクロのセキュリティ予測」のなかで、従来の脅威がさらに攻撃性を高めるために改良され再登場する、として言及されていました。なお過去においては、「ZBOT」の亜種のなかには、拡散のためにファイル感染活動を利用するものもありました。
これらの脅威は、犯罪に利用されるツールキットの全体像に対する新たな変化です。詳しくは、リサーチペーパー「The Crimeware Evolution」(英語情報)をご参照ください。リムーバブルドライブを介した感染活動も、「Web からの脅威」的な自動更新機能も特別目新しいものではありません。多くの不正プログラムは、これまでもこのような不正活動を行ってきました。そのような以前の脅威の中でもとりわけ注目すべきは、「DOWNAD(別名:Conficker)」です。「DOWNAD」は、USB ワームと Web からの脅威、両方の活動を大変効果的に利用した脅威でした。これにより「DOWNAD」は、2008年の登場以来今日に至るまで大きな影響を与える脅威であり続け、2012年においてもアメリカ・カリブ海地域のトップ10不正プログラムに登場しています。つまり同様の活動的特徴を持つ「ZBOT」も、この先継続して感染が増加していくことが十分に考えられます。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また「ファイルレピュテーション」技術により、「WORM_ZBOT.GJ」を検出します。トレンドラボは、ユーザ保護のため、引き続きこの脅威に関する情報を随時更新していきます。
※協力執筆者:Joie Salvio(Threat Response Engineer)および Alvin Bacani(Research Engineer)
参考記事:
by Abigail Pichel (Technical Communications)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)