ボットネット「Zeus」はいまだ脅威に!「LICAT」経由でネットワーク拡大を狙う
投稿日: 2010年10月21日
この攻撃の背景
「TrendLabs(トレンドラボ)」は、2010年10月、新しい脅威である「PE_LICAT.A-O」を確認しました。このウイルスは、実行ファイル(拡張子EXE)に自身のコードを挿入し、ダウンローダ(「PE_LICAT.A」と検出)に変更します。「PE_LICAT.A」は、URLを生成し、Webサイトにアクセスします。その後、「TSPY_ZBOT.BYZ」をダウンロードするのです。
「ZeuS」とは何ですか?またどのような攻撃をユーザに仕掛けますか?
「ZeuS」とは、アンダーグラウンドフォーラムで販売されているツールキットの名称です。ツールキット「ZeuS」は、情報収集機能を備えたトロイの木馬型不正プログラムを作成します。作成された不正プログラムは、トレンドマイクロ製品では、「TSPY_ZBOT」ファミリとして検出されます。トレンドマイクロでは、2007年から「ZBOT」ファミリを監視してきました。
「TSPY_ZBOT」についての詳しい情報および、どのように情報を収集するかは、ZeuS
and Its Continuing Drive Towards Stealing Online Data(英語のみ)をご覧ください。
より専門的な知識をお持ちの方は、ツールキット「ZeuS」およびボットネット「Zeus」による脅威への総合的な対応策を記した以下の研究報告をご参照いただけます。
・ZeuS:
A Persistent Cybercriminal Enterprise(英語のみ)
「LICAT」とは何ですか?どのような攻撃をユーザに仕掛けますか?
「PE_LICAT.A-O」は、特に、実行ファイル(拡張子EXE)を対象とします。EXEファイルとは、ソフトウェアのインストーラパッケージで使用される典型的なファイル形式です。「PE_LICAT.A-O」は、COMファイルおよびEXEファイルといった実行ファイルに自身のコードを挿入します。そのため、「PE_LICAT.A-O」により、いわゆる「パッチ処理を施された」実行ファイルは、「PE_LICAT.A」に変更されてしまいます。しかしながら、「PE_LICAT.A」は、他のファイルに感染する機能を備えていません。
今日の不正プログラムの多くは、実行されるとハードコード化されたWebサイトにアクセスします。しかし、セキュリティソフトは、これらを不正なWebサイトだと判断し、ブロックします。そのため、不正プログラムは、ダウンロード活動を実行することができません。
一方、「PE_LICAT.A」は、自身のWebサイトがブロックされるのを防ぐために、実行されるたびに新たなドメインのリストを生成します。これにより、セキュリティソフトはすべてのWebサイトをブロックすることが困難になります。そして、「PE_LICAT.A」は、生成したドメインのURLにアクセスできると、感染コンピュータ内に「ZBOT」ファミリである「TSPY_ZBOT.BYZ」をダウンロードします。
「ドメイン名を生成して不正活動に利用する」という手口の詳細については、「File
Infector Uses Domain Generation Technique like DOWNAD/Conficker(英語のみ)」をご参照ください。
「LICAT」はまん延していますか?私は攻撃の対象になりますか?
「LICAT」は、ヨーロッパや北アメリカを含むいくつかの地域でまん延しています。トレンドマイクロの上席研究員Rik Fergusonは、これについて彼のブログCounterMeasures(英語)で言及しています。
どのようにしてコンピュータの感染を確認できますか?
残念ながら、この脅威は、コンピュータ内に存在するという明らかな手がかりを表示することはありません。
技術的な知識を持つユーザは、特定のフォルダ内にランダムなファイル名で作成された疑わしいファイルの存在に気づくかもしれません。これらのファイルは、「PE_LICAT.A-O」の場合、<スタートアップ>フォルダ内に作成され、「TSPY_ZBOT.BYZ」の場合、<Application Data>フォルダ内に作成されます。
一方、変更された「PE_LICAT.A」は、異なるhash値を持っています。
感染の可能性を確かめるために、セキュリティソフトを最新のものにアップデートし、ウイルス検索を実行してください。
仕事用のコンピュータが感染しました。ファイルを保存するためにUSBメモリを使用していますが、USBメモリも感染していますか?
この脅威は、「STUXNET」とは異なり、外付けハードドライブやUSBメモリといったリムーバブルドライブを介した感染活動は行いません。しかし、既に感染しているコンピュータにEXEファイルを含むリムーバブルドライブを接続しアクセスすることで、リムーバブルドライブ内のEXEファイルも同様に、ウイルスに感染する恐れがあります。「PE_LICAT.A-O」および「PE_LICAT.A」についての詳細は、以下をご覧ください。
・「PE_LICAT.A-O」
この脅威がワーム「DOWNAD」と関連しているとも言われていますが、このワームにも注意する必要がありますか?
「LICAT」と「DOWNAD」は、どちらとも、ドメインを生成する際に「domain generation
algorithm (DGA)」と呼ばれるドメイン生成の手法を用いるため、両者が関連しているのではないかと言われています。不正プログラムは、この手法により、自身がアクセスする不正なURLのブロックを避けるのですが、この手法は、2009年に「DOWNAD」により用いられたのが最後で、それ以降は確認されていません。しかし、この手法以外には、「LICAT」と「DOWNAD」に関連性はないようです。
コンピュータをこの脅威から守るためには、どのような対策が必要となりますか?
この脅威から身を守るためにも、ご使用のコンピュータにインストールされているセキュリティソフトをできるだけ早く最新のバージョンに更新することを強くお勧めします。また、トレンドマイクロ製品をご利用でないユーザは、無料ツール「Trend Micro
HouseCall」を利用して、感染していないかどうか確認することをお勧めします。
この脅威は、どのようにしてコンピュータに侵入しますか?
入手可能な情報によると、この脅威は、「ドライブバイ・ダウンロード」という手口によりコンピュータに侵入するようです。ドライブバイ・ダウンロードとは、Webサイトなどを介して、ユーザが気付かないうちにファイルをダウンロードさせる手口です。
また、「TSPY_ZBOT.BYZ」は、いくつかのトリガー条件を確認した後、メモリ上で「PE_LICAT.A-O」を復号および実行します。
この脅威は、どのような影響をユーザに与えますか?
ボットネット「Zeus」関連の不正プログラム「ZBOT」ファミリは、オンラインバンクで取引を行うために必要なユーザのアカウント情報を収集することで知られています。そのため、LICATに感染したコンピュータのユーザは、この一連の攻撃により、サイバー犯罪者にアカウント情報を収集され、オンライン上の金融資産を失う危険性があります。
サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?
ZBOTファミリは、主に金銭目的で作成されています。
この脅威は、今までの脅威となにが違いますか?
今回初めて、ZBOTの亜種を拡散させるダウンローダとしてLICATの亜種が利用されました。「PE_LICAT.A」がドメイン名生成の際に用いる手法は、「DOWNAD」で最後に確認された後、このウイルスで再度確認されました。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
クラウド型セキュリティ基盤「Trend Micro
Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術により、不正なファイルを検出し、実行を防ぎます。また、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正プログラムがダウンロードされる不正Webサイトをブロックし、また、収集された情報のHTTPポストを介してのアップロードや、Command and Control(C&C)サーバからのコマンドによる不正プログラムのダウンロードもブロックします。
コンピュータを攻撃から守るにはどうすればいいのですか?
この攻撃からコンピュータを守るために、次のような対策が挙げられます。
・ファイアウォールを用いてインターネットからコンピュータへの通信を監視してください。
・コンピュータのユーザ権限を必要最低限のレベルに設定してください。
・ソフトウェアを常に最新の状態に保ってください。
・パターンファイルを常に最新の状態に保ってください。
・不正なサイトに誘導したり、コンピュータに不正プログラムをダウンロードする可能性のある信頼できないWebサイトを閲覧しないでください。
・VBS、BAT、EXE、PIF、SCRファイルといった拡張子の添付ファイルを含むEメールをブロック、または削除するようにEメールサーバを設定してください。
・受信することがあらかじめ分かっている場合以外は、Eメールの添付ファイルを開かないでください。
註:コンピュータが既に感染している場合、即座にネットワークから切断してください。すべてのWebサイトやアプリケーションのユーザ名やパスワードといったアクセス情報を変更してください。