JPEG画像に隠された新しいZeusバンキングトロイの木馬の亜種ZeusVMが発見される

マルウェアバイトのシニアセキュリティリサーチャーであるジェローム・セグラは、「JPEG（Joint Photographic Experts Group）画像ファイルに新しいZeusバンキングトロイの木馬（ZeusVM）の亜種が発見されました。この他のメッセージや画像に画像やメッセージを隠す行為は、ステガノグラフィーとして知られています」と述べています。

• *

ZeusVMの場合、コードはJPEG画像にステガノグラフィー的に隠されています。トロイの木馬

ZeusVm

は、これを利用して設定ファイルを取得し、悪事を働きます。

• *

ジェローム・セグラはさらに、「JPEGにはマルウェアの設定ファイルが含まれており、これは本質的にスクリプトと金融機関のリストですが、被害者自身が開く必要はありません。JPEG自体はユーザーにはほとんど見えず、主にセキュリティソフトウェアから検出されないようにするための隠蔽技術です」と説明しています。

• *

ZeusVmトロイの木馬は、中間者攻撃を可能にし、攻撃者は簡単に追跡されません。攻撃者はWebInjectsを使用してログインページを変更することで、機密情報を取得できます。セグラは、銀行関連のウェブサイトを訪れることでZeusVMが起動する可能性があると言っています。

• *

セグラはさらに、ZeusVmトロイの木馬は実行可能であり、他の複製ウイルスのようにコンピュータの深い部分に自分自身をコピーします。ZeusVMはネットワークを見つけるとコマンド＆サーバーと簡単に通信でき、コンピュータが再起動すると自動的に再起動（再起動）することもできます。

• *

このマルウェアは多くの方法で配布されますが、主にフィッシングメールやウェブベースの攻撃を通じて広がります。このマルウェアは、マルバタイジングを介しても広がる可能性があります。これは、マルウェアを広める広告をホストするウェブサイトを含みます。マルバタイジングは、このようなマルウェアを広めるための最良の方法です。なぜなら、ウェブサイトの場合、マルウェアは常にオンラインのホストを持つからです。マルウェアが広告に注入されると、生成されるクリック数によってウイルス化する可能性があります。マルバタイジング広告は、その後、ハッカー/攻撃者が倫理的手段（検索エンジン）または違法手段（フィッシングメール/スパムリンク/スパムコメント）を通じて取得するインターネットトラフィックを介してマルウェアを広めることができます。

• *

セグラはこのトロイの木馬に関するさらなる研究を開始し、元の画像とステガノグラフィーされた画像の違いを示しました。ブログ投稿では、見た目は全く同じに見える2つの画像を示しましたが、ビットマップモードと16進数ビューワーで画像を表示した結果、両方の画像の違いが明確に見えました。

• *

セグラは投稿の中で、識別をより困難にするために、付加データがBase64、RC4で暗号化されていると書いています。デコードするには、OllyDbgなどのデバッガーでファイルを逆にして、説明ルーチンを取得できます。