【ZeuS】史上最悪と称されるマルウェア作成ツールの全貌

【スポンサーリンク】

カテゴリー別人気記事

皆様、こんばんは。

今回の投稿は、「ZeuS」と呼ばれるマルウェア作成ツールに関する投稿となります。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

マルウェア作成ツール

さて改めまして今回の投稿は、約1年ぶりとなりますが、マルウェア作成ツールについて記載していきたいと思います。

ウイルス作成ツールキット

こちらが以前の記事ですね。この時は2009年バージョンのZeuSを用いて検証を行いました。

それではまず初めてご覧いただく方のために、ZeuSとは何かを簡単にご説明しましょう。

【スポンサーリンク】

ZeuSについて

主に個人情報の搾取を目的としたトロイの木馬型マルウェアである通称【Zbot】。このマルウェアは非常に多様な亜種が存在し、また強力なボットネットを有することでも知られています。

このマルウェアの亜種が多く存在する理由の一つが、このZeuSです。

つまりZeuSとは、この【Zbot】を作成するためのツールキットの総称というわけです。


Zbotを生成するために用いられるツールの総称がZeuSであるということ。簡単な説明ですが、ご理解は頂けましたでしょうか?

このZeuSについては、インターネット上の闇市場にて平然と取引が行われているという実情があります。

またいわゆるマルウェア等、プログラムを作成するための知識がない者でも、簡単にマルウェアを作成することが出来るという点においても、このツールは非常に脅威と言えるでしょう。

そこで今回この記事を投稿にあたり、久しぶりに複数のアップローダーよりZeuSの検体を収集しました。

ZeuSに関する詳細

以下をご覧ください。

「ZeuS」と呼ばれるマルウェア作成ツールの最新版に該当するver.2.1

収集したZeuSの検体には、ソースコードが流出したver.2.0.8.9や2012年版と思われるver.2.1も含まれています。

今回は特にこの中で最新版であると思われるver.2.1を用いながら、以前の記事で投稿させて頂いた2009年バージョンと比較したうえで、ZeuSの実態について記載していきたい思います。

それではまずZeuS ver2.1を解凍した画像です。

「ZeuS」の最新版に該当するver.2.1を実際に解凍した画像

実行ファイルが格納されているbuilderの更新日時は2012年7月4日で、やはり最近のバージョンと言えますね。

今回収集したZeuS ver2.1では、XCryptという2009年バージョンには見受けられたキーファイルが確認できませんでした。

「ZeuS」と呼ばれるマルウェア作成ツールの最新版に該当するver.2.1の実行ファイルとなるzsb.exe

builderを開いた画面です。zsb.exeというファイルが実際にマルウェアを作成するための実行ファイルですね。

zsb.exe

さすがにマルウェア作成ツールだけあり、virustotalの結果では軒並み検出されています。

「ZeuS」と呼ばれるマルウェア作成ツールのzsb.exeを実行して実行画面のbuilderという項目をクリックする

zsb.exeを実際に実行した起動画面です。さらにbuilderの項目をクリックします。

「ZeuS」と呼ばれるマルウェア作成ツールのzbotを作成するためのビルド画面

ここで2009年バージョンの画像と比較してみましょう。


【2009年バージョン】

「ZeuS」と呼ばれるマルウェア作成ツールの2009年度版のビルド画面との比較


上記の画像を比較しますと、ZeuS ver2.1のほうが一層簡素化されている印象を受けますね。また左記以外にも言語の設定が追加されています。

「ZeuS」と呼ばれるマルウェア作成ツールの最新版に該当するver.2.1には言語設定として英語とロシア語が用意されている

ZeuSはもともとロシアで作成されたツールのようですから、ロシア語表記は不思議ではありません。

では実際にbuilder画面より、マルウェアを作成していきます。

「ZeuS」と呼ばれるマルウェア作成ツールのビルド画面から実際にzbotを作成する

「ZeuS」と呼ばれるマルウェア作成ツールのビルド画面からソースファイルを選択して「build the bot configuration」という項目をクリックする

「ZeuS」と呼ばれるマルウェア作成ツールのビルド画面から「build the bot executable」という項目をクリックすることによりzbotの作成が開始される

「ZeuS」と呼ばれるマルウェア作成ツールによって作成されたzbotのマルウェアファイル

作成手順はわずかに2クリック。このツールを利用することで、いかに簡単にZbotを作成できるかご理解いただけるはずです。

次に作成したマルウェアの検査結果をご覧ください。

malware sample.exe

簡易的な作成手順にて凶悪なZbotの完成という現実、Zbotの亜種がなぜ多いのかという原因の一端が垣間見えるような気がしました。

最後に実際に作成したこのマルウェアを実行し、駆除ツールで検査した結果を記載しておきたいと思います。


【RogueKiller】

¤¤¤ Registry Entries : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[…]\Run : {FDBF2252-4356-F9D4-E1F1-566F3C9FCB02} (C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe [-]) -> FOUND [RUN][SUSP PATH] HKCU\[…]\Run : {4F15667D-50A2-87D7-6D02-21213DAA6AAF} (C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe [-]) -> FOUND [RUN][SUSP PATH] HKUS\S-1-5-21-1569540584-3813580730-475309260-1000\[…]\Run : {FDBF2252-4356-F9D4-E1F1-566F3C9FCB02} (C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe [-]) -> FOUND [RUN][SUSP PATH] HKUS\S-1-5-21-1569540584-3813580730-475309260-1000\[…]\Run : {4F15667D-50A2-87D7-6D02-21213DAA6AAF} (C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe [-]) -> FOUND [HJ DESK][PUM] HKLM\[…]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ DESK][PUM] HKLM\[…]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

【Malwarebytes Anti-Malware 1.75.0.1300】

2013/10/13 16:33:31 MBAM-log-2013-10-13 (17-00-56).txt

スキャンタイプ: フルスキャン (A:\|C:\|D:\|) 有効なスキャン領域: メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン  | ヒューリスティック/Shuriken エンジンを使用してスキャン  | 不審なプログラム (PUP) | 不審な変更 (PUM) 無効なスキャン領域: ピア・ツー・ピアプログラム(P2P) スキャンしたアイテム数: 293448 経過時間: 16 分, 27 秒

メモリプロセスの検出: 0 (悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 1 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> 悪: (1) 良: (0) -> 何の措置も取られませんでした。

フォルダの検出: 0 (悪意のあるアイテムは検出されていません。)

ファイルの検出: 6 C:\Users\tetuya_akiba\AppData\Local\Temp\ZSB.EXE (Trojan.Zbot.H) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Gyeh\umupy.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Vehi\ibibz.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Yfpu\qoup.exe (Spyware.Zbot) -> 何の措置も取られませんでした。

(終)


史上最悪といわれるマルウェア作成ツール【ZeuS】、そして左記により作成されるZbot。実は上記の駆除ツール以外にも、別の駆除ツールにて検査した際は、検出結果にSpyEyeという名称も見受けられました。 SpyEyeはZeuSとはまた別のマルウェア作成ツールですが、近年では左記の2つが連携することも珍しくないのだそうです。

近年、着々と進化を続けるマルウェア。これらマルウェアに対抗するためには、インターネットを利用する我々が、しっかりとしたセキュリティ知識を有し、また対策を講じていく必要があるのではないでしょうか。 この記事をご覧の皆様、どうか上記のことをしっかりと認識していただきたいと思います。

それから余談となりますが、このような記事を投稿しますと、今回の記事にて用いられたマルウェア作成ツールを入手したいというコメントを頂きます。

今回のマルウェア作成ツールを実行した際のプロセス及び通信状況をご覧ください。

タスクマネージャに表示された「ZeuS」と呼ばれるマルウェア作成ツールを実行した際のlewao.exeというプロセス

「ZeuS」と呼ばれるマルウェア作成ツールを実行した際のlewao.exeというプロセスの通信先のIPアドレス

「ZeuS」と呼ばれるマルウェア作成ツールを実行した際のlewao.exeというプロセスの通信先のIPアドレスのホスト国(アメリカ合衆国)

「ZeuS」と呼ばれるマルウェア作成ツールを実行した際のlewao.exeというプロセスの通信先のIPアドレスのホスト国(ドイツ)

マルウェア作成ツールを実行した途端に、ユーザフォルダ下の一時ファイルにファイルを作成し、左記のファイルがwindowsメーラーを立ち上げ外部に通信を試みている挙動がありました。

マルウェア作成ツール自体も非常に危険なものであるということを、どうかご理解いただきたいと思います。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外の悪用厳禁ツールの対策方法に関連する記事に興味がある方は、ぜひ一度以下の悪用厳禁ツールの対策方法に関連する記事のまとめを参照してください。


<悪用厳禁ツールの対策方法に関連する記事のまとめ>

1、URL

悪用厳禁ツールの対策方法に関連する記事のまとめ


それでは以上です。