【ZeuS】史上最悪と称されるマルウェア作成ツールの全貌

皆様、こんばんは。

今回の投稿は、「ZeuS」と呼ばれるマルウェア作成ツールに関する投稿となります。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

マルウェア作成ツール

【目次】

マルウェア作成ツール
ZeuSについて
ZeuSに関する詳細
あとがき

さて改めまして今回の投稿は、約1年ぶりとなりますが、マルウェア作成ツールについて記載していきたいと思います。

ウイルス作成ツールキット

こちらが以前の記事ですね。この時は2009年バージョンのZeuSを用いて検証を行いました。

それではまず初めてご覧いただく方のために、ZeuSとは何かを簡単にご説明しましょう。

【スポンサーリンク】

ZeuSについて

主に個人情報の搾取を目的としたトロイの木馬型マルウェアである通称【Zbot】。このマルウェアは非常に多様な亜種が存在し、また強力なボットネットを有することでも知られています。

このマルウェアの亜種が多く存在する理由の一つが、このZeuSです。

つまりZeuSとは、この【Zbot】を作成するためのツールキットの総称というわけです。

Zbotを生成するために用いられるツールの総称がZeuSであるということ。簡単な説明ですが、ご理解は頂けましたでしょうか？

このZeuSについては、インターネット上の闇市場にて平然と取引が行われているという実情があります。

またいわゆるマルウェア等、プログラムを作成するための知識がない者でも、簡単にマルウェアを作成することが出来るという点においても、このツールは非常に脅威と言えるでしょう。

そこで今回この記事を投稿にあたり、久しぶりに複数のアップローダーよりZeuSの検体を収集しました。

ZeuSに関する詳細

以下をご覧ください。

収集したZeuSの検体には、ソースコードが流出したver.2.0.8.9や2012年版と思われるver.2.1も含まれています。

今回は特にこの中で最新版であると思われるver.2.1を用いながら、以前の記事で投稿させて頂いた2009年バージョンと比較したうえで、ZeuSの実態について記載していきたい思います。

それではまずZeuS ver2.1を解凍した画像です。

実行ファイルが格納されているbuilderの更新日時は2012年7月4日で、やはり最近のバージョンと言えますね。

今回収集したZeuS ver2.1では、XCryptという2009年バージョンには見受けられたキーファイルが確認できませんでした。

builderを開いた画面です。zsb.exeというファイルが実際にマルウェアを作成するための実行ファイルですね。

zsb.exe

さすがにマルウェア作成ツールだけあり、virustotalの結果では軒並み検出されています。

zsb.exeを実際に実行した起動画面です。さらにbuilderの項目をクリックします。

ここで2009年バージョンの画像と比較してみましょう。

【2009年バージョン】

上記の画像を比較しますと、ZeuS ver2.1のほうが一層簡素化されている印象を受けますね。また左記以外にも言語の設定が追加されています。

ZeuSはもともとロシアで作成されたツールのようですから、ロシア語表記は不思議ではありません。

では実際にbuilder画面より、マルウェアを作成していきます。

作成手順はわずかに2クリック。このツールを利用することで、いかに簡単にZbotを作成できるかご理解いただけるはずです。

次に作成したマルウェアの検査結果をご覧ください。

malware sample.exe

簡易的な作成手順にて凶悪なZbotの完成という現実、Zbotの亜種がなぜ多いのかという原因の一端が垣間見えるような気がしました。

最後に実際に作成したこのマルウェアを実行し、駆除ツールで検査した結果を記載しておきたいと思います。

【RogueKiller】

¤¤¤ Registry Entries : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[…]\Run : {FDBF2252-4356-F9D4-E1F1-566F3C9FCB02} (C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe [-]) -> FOUND [RUN][SUSP PATH] HKCU\[…]\Run : {4F15667D-50A2-87D7-6D02-21213DAA6AAF} (C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe [-]) -> FOUND [RUN][SUSP PATH] HKUS\S-1-5-21-1569540584-3813580730-475309260-1000\[…]\Run : {FDBF2252-4356-F9D4-E1F1-566F3C9FCB02} (C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe [-]) -> FOUND [RUN][SUSP PATH] HKUS\S-1-5-21-1569540584-3813580730-475309260-1000\[…]\Run : {4F15667D-50A2-87D7-6D02-21213DAA6AAF} (C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe [-]) -> FOUND [HJ DESK][PUM] HKLM\[…]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ DESK][PUM] HKLM\[…]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

【Malwarebytes Anti-Malware 1.75.0.1300】

2013/10/13 16:33:31 MBAM-log-2013-10-13 (17-00-56).txt

メモリプロセスの検出: 0 (悪意のあるアイテムは検出されていません。)

メモリモジュールの検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリキーの検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリ値の検出: 0 (悪意のあるアイテムは検出されていません。)

レジストリデータ項目の検出: 1 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> 悪: (1) 良: (0) -> 何の措置も取られませんでした。

フォルダの検出: 0 (悪意のあるアイテムは検出されていません。)

ファイルの検出: 6 C:\Users\tetuya_akiba\AppData\Local\Temp\ZSB.EXE (Trojan.Zbot.H) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Egepz\lewao.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Gyeh\umupy.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Ibymi\heytg.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Vehi\ibibz.exe (Spyware.Zbot) -> 何の措置も取られませんでした。 C:\Users\tetuya_akiba\AppData\Roaming\Yfpu\qoup.exe (Spyware.Zbot) -> 何の措置も取られませんでした。

(終)

史上最悪といわれるマルウェア作成ツール【ZeuS】、そして左記により作成されるZbot。実は上記の駆除ツール以外にも、別の駆除ツールにて検査した際は、検出結果にSpyEyeという名称も見受けられました。 SpyEyeはZeuSとはまた別のマルウェア作成ツールですが、近年では左記の２つが連携することも珍しくないのだそうです。

近年、着々と進化を続けるマルウェア。これらマルウェアに対抗するためには、インターネットを利用する我々が、しっかりとしたセキュリティ知識を有し、また対策を講じていく必要があるのではないでしょうか。この記事をご覧の皆様、どうか上記のことをしっかりと認識していただきたいと思います。

それから余談となりますが、このような記事を投稿しますと、今回の記事にて用いられたマルウェア作成ツールを入手したいというコメントを頂きます。

今回のマルウェア作成ツールを実行した際のプロセス及び通信状況をご覧ください。