エフセキュアの「Threat Report H1 2012」から抜粋:

  昨年、version 2.0.8.9のソースコードが流出した後、ZeuSは別途開発された複数のクライムウェアファミリに別れた。興味深い開発はピア・ツー・ピアバージョンで、「Gameover」と呼ばれている。

  このGameoverピア・ツー・ピア(P2P)バージョンは、イン・ザ・ワイルドで現れたZeuSの第2の派生物で、ピア・ツー・ピア・ネットワークを使用して、感染したコンピュータからコンフィギュレーションファイルとアップデートを取り出す。この派生物に組み込まれた広範な変更は、ほとんどがもっぱらコンフィギュレーションファイルに集中しており、回復や分析を妨害することを目的としているようだ。変更の多くは、2008年(バージョン1.2)以来変わっていなかったバイナリ構造や圧縮方法など、長年変更の無かったコードセクションに加えられている。

  このバージョンが一般にリリースされた日付は、そのDomain Generation Algorithm(DGA)により作成されたドメインの登録データから推定することができる。このトロイの木馬は、P2Pネットワーク上で他のマシンに接続できない場合は、これらのドメインを「バックアップ・サーバ」として使用する。最初のドメイン登録が2011年9月5日に行われているので、同トロイの木馬はこの日付近くに解き放たれた可能性が高い。これらのバックアップ・サーバは、同トロイの木馬が実際のコンフィギュレーションファイルを読み出すことのできる感染したマシンの、別のリストをホスティングしているのみだ。このバックアップシステムは、コンフィギュレーションファイルが外部のWebサーバには保存されていないが、完全にボットネット自身の内部で取り扱われていることを意味している。

  分析されたすべてのP2Pサンプルには、着信するファイルのデジタル署名チェックに用いられる、同一のRSAパブリックキーが含まれていた。

  他のボットネットに特有な暗号化キーも同様だ。したがって、このP2Pバージョンはプライベートなものであり、これらトロイの木馬を作成するのに使用されたキットは、それ以上再販されなかった、というのが我々の結論だ。このことは、これらトロイの木馬のすべてが同一のボットネットにつながっており、一つの団体によりコントロールされていることを意味している。広範囲な変更が加えられたことと、ソースコードがリークした後にこのバージョンが現れるのに比較的短期間しか掛からなかったことから、このP2Pバージョンは漏洩したコードから作業をした部外者により作成されたものではないと見られる。ZeuSコードの論理的で、慎重に作成された進化形であり、おそらく「ZeuS 3」と呼ぶことも可能だろう。その作者を特定する方法は無いが、オリジナルの「ZeuS 2」の背後にいる人物であるということは、大いにあり得る。

ZeuS Distribution, April - May2012

  完全な脅威レポートはここからダウンロードできる。