「ZBOT」を拡散するファイル感染型ウイルスを確認
トレンドマイクロは、通常同時に利用されることはないファイル感染型ウィルスとオンライン銀行詐欺ツールZBOTが同時に利用された事例を確認した。今回攻撃で検出されたファイル感染型ウィルスはPE_PATNOTE.Aで、感染PC上すべての実行ファイルの末尾に自身のコードを追加し、ZBOTの亜種のTSPY_ZBOT.PNRを作成して実装し、自身の不正コードを感染PCのすべての実行ファイルに追加する。PE_PATNOTE.AはPC上のすべての実行ファイルにコードを追加して拡散させるため、ドライブの他にもリムーバブルドライブ、ネットワークドライブにも感染し、また、感染能力が高いため一度このウィルスに感染すると駆除や削除が困難になる。このウィルスは一般的な解析ツールを回避しており、今後もこの解析回避手法が頻繁に利用される可能性がある。また、このファイル感染型ウィルスは現在感染PC にZBOTのコードを直接作成できるため、アクセス制限されたネットワーク上でも感染の可能性が高いため注意が必要になる。
