「Gameover Zeus」にあらたな亜種 - ホスト名自動生成機能を強化

オンラインバンキングのアカウント情報を窃取する「Gameover Zeus（GOZ）」にあらたな亜種が出回っていることがわかった。トレンドマイクロが確認したという。

「Gameover Zeus」は、オンラインバンキングのアカウント情報を盗み出すマルウェア。不正送金被害が拡大しており、DDoS攻撃へ悪用される懸念もあることから、6月にFBIや各国の法執行機関などが中心となって掃討作戦が展開された。

P2Pによる通信機能を備え、分散したコマンド＆コントロールサーバによりボットネットを構築することが特徴。コマンド＆コントロールサーバとの通信を隠蔽するために、ホスト名を自動生成機能などを備えている。

今回トレンドマイクロが発見した亜種では、ホスト名の生成機能をさらに強化。生成するドメインは1日あたり最大500件におよび、最大1500の固有ドメインを生成するという。しかし、同社が調べたところ実際に関連するドメインは23件のみだった。

また同亜種の感染は4分の3が米国に集中しているが、インドや日本などにおいても感染が確認されている。C＆Cサーバは、米国や東欧、ロシア、カザフスタン、ウクライナ、リトアニア、台湾などで稼働していた。

同社では、ホスト名の生成によるトラフィックの隠蔽は、今回の亜種に限ったものではないと指摘。C＆Cサーバの検出を妨害する手法として引き続き利用されると分析している。

（Security NEXT - 2014/08/13 ）ツイート