ファイル感染型ウイルスとオンライン銀行詐欺ツール「ZBOT」が同時に利用されることは通常ありません。しかし、「TrendLabs(トレンドラボ)」では、2014年1月中旬、この 2つの脅威が同時に利用された事例を確認しました。
今回の攻撃で利用された「PE_PATNOTE.A」として検出されるファイル感染型ウイルスは、図2 のように、感染PC上のすべての実行ファイルの末尾に自身のコードを追加します。
 |
 |
追加されたコードは、どのような不正活動を行うのでしょうか。このコードは、オンライン銀行詐欺ツール「ZBOT」の亜種である「TSPY_ZBOT.PNR」を作成して実行するとともに、自身の不正コードを感染PCのすべての実行ファイルに追加します。
なお、「TSPY_ZBOT.PNR」は以下のファイルを作成します。
- <User Temp>\notepat.exe
上述したように、「PE_PATNOTE.A」は PC上のすべての実行ファイルにコードを追加することで拡散します。また、固定ドライブだけでなく、リムーバブルドライブおよびネットワークドライブにも感染します。このように「PE_PATNOTE.A」の感染能力が高いため、一旦このファイル感染型ウイルスに感染すると、駆除や削除がより一層難しくなります。
このようなファイル感染型ウイルスが「ZBOT」感染に誘導するという、まれな組み合わせの他に、「PE_PATNOTE.A」は、トレンドラボが 2014年1月10日に報告したいくつかの解析回避手法を利用しています。この解析回避手法により、「OllyDbg」や「ProcDump」、「StudPDE」、「WinHex」といった一般的な解析ツールが回避されています。今回の事例は、このような解析回避手法が今後もより頻繁に利用されることを暗示しているかもしれません。
 |
「ZBOT」を拡散するファイル感染型ウイルスを確認したのは、今回が初めてではありません。トレンドラボでは、2010年10月に、「PE_LICAT.A」による「ZBOT」の拡散を確認しています。しかし、当時と現在では、若干の違いがあります。2010年当時、「ZBOT」は LICAT自身が生成する URL から PC 上にダウンロードされました。しかし現在は、感染PC に「ZBOT」のコードが直接「作成」されます。このことにより、インターネットのアクセスが制限されたネットワーク上でも、感染が可能になりました。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「ファイルレピュテーション」技術により、ファイル感染型ウイルス「PE_PATNOTE.A」および「ZBOT」の亜種「TSPY_ZBOT.PNR」を検出し、削除します。
参考記事:
by Nikko Tamana (Threat Response Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)