木曜日, 5月 20, 2010

【マルウェア情報】Zeus/ZBotトロイとノットネットバーション2.0

昨月「Zeusトロイとボットネット最新バーションが出ました」のブログ内容を書きました。その時に直ぐに発見したら直ぐにブログで報告しましたので、そこから追加情報が沢山あり下記の説明となります。

Zeusバーション2.0とは?
前のブログで書いた情報は新しいZeus/Zbotトロイとボットネットのパッケージです、現在Zeus/Zbotバーション2.0と言われます。先週末に沢山Zeusボットネットを提供しているがISPをシャットダウンされた状況でしたが、Zeusボットネットの数はそんなに下がりません。他のマルウェアと比べたらZeusのバーションアップ開発がちゃんとやっているみたいです。現在ブラックマーケットの世界で次のバーションのβは現在宣伝最中ですと聞いてます。

Zeus2.0と前のバーションの違いのは下記となります↓
⇒Zeus 2.0の特徴暗号化機能が入ってます
 (目的は検知しにくいの為)
⇒プルグラムやソフトが「%APPDATA%\{ランダム}\{ランダム}.exe"」でインストールされてます。
 (前回は「%WINDIR%\System32\ランダム」でした)
⇒Windowsユーザーに感染する目標です。全体PCじゃなくて
⇒レジストリーの「HKCU\..\Run」で登録されてます
⇒rootkit ring3技術を使いません(transparentじゃなくなります)
⇒svchost.exe, lsass.exe, services.exeを使いませんが特別ランダムプロセスが立ち上がります。
⇒メモリーで「Mutex」とイベント名は「ランダムGUID」

現在Zeus2.0ぼボットネットは下記のコマンドリストがコードとTCPプロトコルで情報を見えます↓
user_flashplayer_remove; user_flashplayer_get; user_ftpclients_get; user_homepage_set; user_url_unblock; user_url_block; user_certs_remove; user_certs_get; user_cookies_remove;user_cookies_get; user_execute; user_logoff; user_destroy; fs_search_remove; fs_search_add;fs_path_get; bot_httpinject_enable; bot_httpinject_disable; bot_bc_remove; bot_bc_add; bot_update; bot_uninstall; os_reboot; os_shutdown;

今度のZeusボットネット機能は恐らく下記となるかと…
bot_httpinject_disable;
bot_httpinject_enable;
fs_path_get;
fs_search_add;
fs_search_remove;
user_destroy;


credit: symantec, AVG, shadowserver
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿