【要点】
◎トロイの木馬に分類されるバンキングマルウェア。2007年7月に初めて発見され、その後世界最大規模のBOTを形成し、猛威を振るった。ソースコードが公開されている。
【辞書】
◆Zeus (malware)
https://en.wikipedia.org/wiki/Zeus_(malware)
◆Zbot/Zeus (NJCCIC)
https://www.cyber.nj.gov/threat-profiles/trojan-variants/zbot
◆ZeuS/Zbot(ゼウス/ゼットボット)とは (日立ソリューションズ, 2009/12/18)
https://securityblog.jp/words/812.html
【ブラックリスト】
◆Zeus Tracker Top Page
https://zeustracker.abuse.ch/
◆Zeus Tracker Blacklist (URL)
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
◆Zeus Tracker Blacklist (IP)
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
【分析結果】
◆RT Labs - Zeus Trojan Analysis (Sourcefire VRT Labs)
http://labs.snort.org/papers/zeus.html
【サンプルパケット】
◆Sample1
http://labs.snort.org/papers/samples/zeus-sample-1.pcap
◆Sample2
http://labs.snort.org/papers/samples/zeus-sample-2.pcap
◆Sample3
http://labs.snort.org/papers/samples/zeus-sample-3.pcap
【ニュース】
◆怪しい雲行き:休暇時期のウクライナを悩ませた Zeus の亜種 (CISCO TALOS, 2019/01/11 16:00)
https://gblogs.cisco.com/jp/2018/01/cfm-zeus-variant/
◆“日本だけ”を狙ったマルウェアがある――サイバー攻撃の現状をアーバーが調査 (BusinessNetwork, 2016/06/20)
https://businessnetwork.jp/Detail/tabid/65/artid/4653/Default.aspx
◆Carberp/Zeus Malware Mashup Spawns Sophisticated Bolek Banking Trojan (IBM, 2016/06/14 08:26)
https://securityintelligence.com/news/carberpzeus-malware-mashup-spawns-sophisticated-bolek-banking-trojan/
◆日本の金融が標的に--IBMのセキュリティ専門家が語るサイバー犯罪 (ZDNet, 2016/06/02 07:30)
http://japan.zdnet.com/article/35083434/
◆ネットバンキング狙うマルウェア、前四半期比2倍超に - 偽日本郵政メールなどで拡散 (Security NEXT, 2016/05/27)
http://www.security-next.com/070365
◆ウイルス保管容疑の自称「アノニマスのメンバー」高校生を不起訴…神戸地検 (産経新聞, 2016/03/01 20:43)
http://www.sankei.com/west/news/160301/wst1603010090-n1.html
◆ネットバンキングの不正送金被害、法人での対策ポイントは? (ITmedia,2014/07/31 19:55)
既に2013年を上回る被害が発生しているオンラインバンキングの不正送金事件は、特に地方銀行や信用金庫などの法人顧客の被害が目立っている
http://www.itmedia.co.jp/enterprise/articles/1407/31/news139.html
◆ZeusとCarberpの機能を合体したトロイの木馬「Zberp」が出現 (CIO, 2014/05/28)
http://itpro.nikkeibp.co.jp/article/IDG/20140528/559803/#cxrecs_s
◆マルウェアを使用して大金を盗み出した複数のウクライナ人ハッカーが初出廷 (Gigazine, 2014/04/14 13:00)
http://gigazine.net/news/20140414-ukraine-hackers-zeus/
◆2013年迷惑メールに最も添付された不正プログラム (Trendmicro, 2014/04/10)
http://www.is702.jp/news/1558/partner/101_g/
◆オンライン銀行詐欺ツール「ZBOT」、画像に環境設定ファイルを隠ぺい (Trendmicro, 2014/03/04)
http://blog.trendmicro.co.jp/archives/8681
◆ネットバンク利用者狙うマルウェア「Zeus」、1年で3.4倍に - 日本の感染割合が上昇 (SEcurity NEXT, 2014/02/18)
http://www.security-next.com/46615
◆「Zeus」を拡散させるあらたな攻撃手法 - オフライン環境にも (Security NEXT, 2014/01/31)
http://www.security-next.com/46225
◆「ZBOT」を拡散するファイル感染型ウイルスを確認(トレンドマイクロ) (NetSecurity, 2014/01/30 18:02)
http://scan.netsecurity.ne.jp/article/2014/01/30/33472.html
◆世界各地でランサムウェアが蔓延 (産経関西, 2013/10/24 09:21)
http://www.sankei-kansai.com/press/post.php?basename=000000135.000001340.html
◆金銭脅し取る「ランサムウェア」が拡大中 - 手口はますます巧妙に (Security NEXT, 2013/10/24)
http://www.security-next.com/044014
◆ランサムウェアがオンライン銀行詐欺ツール経由で侵入 ― トレンドマイクロ (Internet Security Nnowledge, 2013/10/24)
http://is702.jp/news/1456/partner/101_g/
◆ランサムウェア「CryptoLocker」、「ZBOT」を経て感染することで増す脅威(トレンドマイクロ) (NetSecurity, 2013/10/24 16:58)
http://scan.netsecurity.ne.jp/article/2013/10/24/32777.html
◆身代金要求型不正プログラムの動作例 (マイナビニュース, 2013/10/24)
http://news.mynavi.jp/news/2013/10/24/299/
◆日本だけを狙う「バンキングトロイ」が出現 (ITmedia, 2013/02/13)
大手5行のオンラインバンキング利用者を標的にしているとみられるマルウェアが確認された
http://www.itmedia.co.jp/enterprise/articles/1302/13/news077.html
◆シマンテック、日本の銀行のみを標的にするZeusに注意喚起(COMPUTERWORLD, 2013/02/13)
インストールにBlackhole悪用ツールキットを利用
◆金融機関狙うポップアップウイルスは「Zeus」亜種 – なりすましメールで拡散 (Security NEXT, 2012/11/07)
http://www.security-next.com/035061
◆Microsoftのセキュリティ大作戦「Operation B71」とボットネット「Zeus」 (マイナビニュース, 2012/04/11)
Zeusとその手口
http://news.mynavi.jp/articles/2012/04/11/operationb71/index.html
◆Microsoft Digital Crimes Unit の活躍 – Zeus ボットネット の C & C サーバー押収へ (Microsoft 日本のセキュリティチーム, 2012/03/30)
http://blogs.technet.com/b/jpsecurity/archive/2012/03/30/3489321.aspx
◆マルウェアの「Zeus」がAndroidを標的に、偽ウイルス対策ソフトも出現 (ITmedia, 2011/07/15 13:39)
Androidアプリケーションを装ったZeus関連の不正なアプリや、ウイルス対策ソフトに見せかけた悪質なアプリが出現した
◆「Zeus」ソースコード流出、研究者による分析が容易に - Zeus開発者はPHPが得意 (Security NEXT, 2011/06/03)
http://www.security-next.com/021176
◆Complete ZeuS source code has been leaked (The Hacker News, 2011/05/10)
http://thehackernews.com/2011/05/complete-zeus-source-code-has-been.html
◆Complete ZeuS sourcecode has been leaked to the masses (CSIS, 2011/05/09 13:57)
http://www.csis.dk/en/csis/blog/3229/
◆ZeuS/Zbot source code for sale? (CSIS, 2014/03/23 13:49)
http://www.csis.dk/en/csis/blog/3176/#sthash.rfzIHm0S.dpuf
◆ZeuS lives! (SECURELIST, 2011/03/04)
http://securelist.com/blog/incidents/29647/zeus-lives/
◆Zeus Malware Not Dead Yet, New Features Being Added (Threatpost, 2011/03/04 17:03)
http://threatpost.com/zeus-malware-not-dead-yet-new-features-being-added-030411/74997
◆個人情報を盗むマルウエアZeus/Zbotの実態 (ITPro, 2010/09/14)
http://itpro.nikkeibp.co.jp/article/COLUMN/20100913/351960/
◆ボットネット「Zeus」、ISPの接続遮断で活動が一時鈍化 (ZDNet, 2010/03/15 11:40)
http://japan.zdnet.com/security/analysis/20410381/
◆Zeus Virus AKA Zbot – Malware of the Month, November 2019 (Security Boulevard, 2019/11/13)
https://securityboulevard.com/2019/11/zeus-virus-aka-zbot-malware-of-the-month-november-2019/
⇒ https://malware-log.hatenablog.com/entry/2019/11/13/000000_4
【ブログ】
◆ZeuS-in-the-Mobile for Android (Kaspersky, 2011/07/12 18:52)
http://www.securelist.com/en/blog/208193029/ZeuS_in_the_Mobile_for_Android
◆Torを利用する64ビット版「ZBOT」、セキュリティ製品の回避手法を向上 (TrendLabs Security Blogs, 2014/01/10)
http://blog.trendmicro.co.jp/archives/8388
◆「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」 (TrendLabs Security Blogs, 2013/12/27)
http://blog.trendmicro.co.jp/archives/8367
◆銀行を狙うトロイの木馬 –– 主要4種 (Kaspersky, 2013/10/30)
https://blog.kaspersky.co.jp/the-big-four-banking-trojans/1839/
◆2013年、オンライン銀行詐欺ツール「ZBOT」が進化して再来 (Trendlabs, 2014/05/09)
http://blog.trendmicro.co.jp/archives/7307
◆日本のオンラインバンキング利用者のみを標的にする Zeus (Symantec, 2013/02/13)
http://www.symantec.com/connect/ja/blogs/zeus
◆Zeus for Android and fake Kaspersky Antivirus 2011 (Sophos, 2011/07/14)
http://nakedsecurity.sophos.com/2011/07/14/zeus-for-android-update/
【公開情報】
◆ZeusおよびCarberpの機能を引き継ぐ危険なポリモーフィック型トロイの木馬 (Dr.Web, 2016/06/03)
https://news.drweb.co.jp/show/?p=1&c=1&lng=ja&i=1024
【ブラックリストサイト】
◆Zeus Tracker Top Page
https://zeustracker.abuse.ch/
◆Zeus Tracker Blacklist (URL)
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
◆Zeus Tracker Blacklist (IP)
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
【関連まとめ記事】
◆マルウェア / Malware (まとめ)
https://malware-log.hatenablog.com/entry/Malware
◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware
【関連まとめ記事】
◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware
【インディケータ情報】
■ハッシュ情報(Sha256)
- 8cc7e0bff3f2f6962ebad222240696b1e9cce3e9e26abcf5936fd3146613976f
(以上は CISCO TALOSの情報。 引用元はhttps://gblogs.cisco.com/jp/2018/01/cfm-zeus-variant/ )
■URL情報(マルウェア配布)
- hxxp://cfm.com.ua/awstats/load.exe
- hxxp://crystalmind.ru/versionmaster/nova/load.exe
- hxxp://nolovenolivethiiswarinworld.com/ico/load.exe
(以上は CISCO TALOSの情報。 引用元はhttps://gblogs.cisco.com/jp/2018/01/cfm-zeus-variant/ )
■URL情報(C&Cサーバ)
- hxxp://contsernmayakinternacional.ru/
- hxxp://soyuzinformaciiimexanikiops.com/
- hxxp://kantslerinborisinafrolova.ru/
(以上は CISCO TALOSの情報。 引用元はhttps://gblogs.cisco.com/jp/2018/01/cfm-zeus-variant/ )