ゾトブ

「Zotob ワームとそのいくつかの亜種（Rbot.cbq、SDBot.bzh、Zotob.d として知られる）は、ABC、CNN、 AP通信、ニューヨーク・タイムズ、Caterpillar Inc.などの企業のコンピュータに感染した。」— Business Week、2005 年 8 月 16 日。

Zotobは2005年に発生したコンピュータワームで、 Windows 2000などのMicrosoftオペレーティングシステムのセキュリティ上の脆弱性（MS05-039のプラグアンドプレイ脆弱性を含む）を悪用しました。このワームは、Microsoft-dsまたはTCPポート445 で拡散することが知られています。ファリド・エセバルとアティラ・エキチは、このワーム拡散の容疑で逮捕されました。

マイクロソフトは50人の捜査員を投入し、ハッカー逮捕に25万ドルの懸賞金をかけた。マイクロソフトの法務顧問は2005年8月26日、「わずか2週間で逮捕者を地球の反対側から確認できたという事実は、まさにその重要性を物語っている」と述べた。Zotobワームの被害を受けた企業1社あたり、平均9万7000ドルの費用と80時間の復旧作業がかかったとされている。^{[ 1 ]}

ZotobはRbotワームから派生したものです。Rbotは感染したコンピュータを強制的に再起動させることが可能です。2005年8月16日の発生はCNNテレビで生中継され、ネットワークのコンピュータが感染したことが明らかになりました。Zotobはコンピュータが再起動するたびに自己複製するため、削除されるまでに各コンピュータに多数のコピーが保存されることになります。これはBlaster（Lovesan）ワームに類似しています。

• 2005年8月9日：セキュリティ勧告「8月9日、マイクロソフトはWindows 2000のプラグアンドプレイコンポーネントの脆弱性を明らかにする重要なセキュリティ勧告MS05-039をリリースしました。この脆弱性を修正するコードも公開されました。」^{[ 2 ]}
• ウイルス作成「マイクロソフトの発表以来、ウイルス作成者はZotobとRBotのいくつかの亜種をリリースしたほか、SD-BotとIRC-Botという古いワームの更新バージョンもリリースしており、新たに発見された欠陥を利用するように設計されている。」^{[ 3 ]}
• 2005年8月13日: 土曜日に出現「ZotobとRbotと呼ばれるワームとその亜種は土曜日に出現し始め、週の初めに企業ネットワークが活性化するにつれて増殖し続けたとコンピュータセキュリティの専門家は述べた。」^{[ 4 ]}

Wikinewsには関連ニュースがあります:

• CNN本社がコンピューターワームに感染、世界的な脅威を誇張

• 2005年8月16日：CNNの生中継が停止。「午後5時頃、ニューヨークとアトランタのCNN施設で問題が発生し、約90分後に復旧しました。」^{[ 5 ]}「CNNは通常の番組を中断し、ケーブルニュースネットワークのWindows 2000搭載パソコンがワームの影響を受け、再起動を繰り返していると放送で報じました。」^{[ 6 ]}「コンピュータワームの世界的な影響を追跡しているインターネット・ストーム・センターは、ウェブサイト上で、大規模なインターネット攻撃は発生していないと発表しました。これはおそらく単発の出来事であり、CNNが感染したことでニュースになったと考えられます。現時点では新たな脅威は確認されていません。」^{[ 7 ]}
• 2005年8月17日：CIBCおよび他の銀行、企業が影響を受ける「CIBCによると、Zotobワームはいくつかの孤立した障害を引き起こしたが、ATM、インターネットバンキング、電話バンキングには影響しなかった。このウイルスは他のカナダの企業にも感染したが、広範囲にわたる業務停止には至っていない。」^{[ 8 ]}
• 2005年8月26日:モロッコで容疑者が逮捕される。「 FBIの要請により、モロッコ警察はウイルス拡散の背後にいた疑いで、18歳のモロッコ人ファリド・エセバールを逮捕した。」 ^{[ 9 ]}
• 2006年9月16日:判決「Zotob Windowsワームの作成者であるFarid Essabarと彼の友人Achraf Bahloulは、モロッコの裁判所で判決を受けました。^{[ 10 ]}

2005年8月26日、ファリド・エセバルとアティラ・エキチがそれぞれモロッコとトルコで逮捕されました。彼らはワームのコードを作成した張本人であると考えられています。

Zotobワームのコード署名から、Diabl0によって作成されたことが示唆されており、接続先のIRCサーバーはMytobの以前のバージョンで使用されていたものと同じである。Diabl0は、 houseofdabus ^{[ 11 ]}というニックネームを持つロシア人のコードを組み込んでいたと考えられている。この人物のジャーナルは、Diabl0の逮捕直後に当局によって閉鎖された^{[ 12 ]}。開発者（Ekici）は、Diabl0（Essebar）にコード作成を依頼し、金銭を支払ったとみられる。

「彼は、金儲けがすべてだと言っています。スパイウェアをインストールすることで金が儲かるので、ワームが削除されても構わないと言っています」とテイラーは私との会話の中で語った。^{[ 13 ]}

2005年8月30日、複数のアンチウイルス企業から物議を醸す報告が発表されました。ソフォスは、複数の人物がMytob（ワームの亜種）のソースコードにアクセスしたと発表しました。一方、F-Secureは、 Essebarの逮捕後に作成されたMytobの複数の亜種を発見したと発表しました。これらの発表は、Essebarがマルウェア拡散の背後にいる、より大規模なダークサイドハッカー集団の一部に過ぎないことを示唆しています。^{[ 14 ]}

ファリド・エッセバー（アラビア語：فريد الصبار）（1987年生まれ、Diabl0として知られる）は、モロッコ出身のブラックハットハッカーである。彼はZotobの拡散に関わった2人のうちの1人である。エッセバーはロシア国籍も持つ。^{[ 15 ]}

彼の目的はクレジットカード偽造詐欺を助長することだったと考えられています。FBIは、アティラ・エキチがエッセバーにワームのコード作成を依頼し、金銭を支払ったと考えています。2006年7月、捜査官はエッセバーが20種類以上のウイルスを作成した可能性があると述べました。^{[ 16 ]}

2006年9月15日、モロッコの裁判所はエセバルに懲役2年の判決を下した。^{[ 17 ]} 2006年12月15日に懲役1年に減刑された。

2014年3月17日、エッセバーはタイ警察による2年間の捜査の後、タイで逮捕された。この捜査は、スイス当局からの、スイスの銀行への侵入疑惑で数十億ドルの損害が発生したという申し立てをきっかけに始まった。^{[ 18 ]}

• 著名なコンピュータウイルスとワームのタイムライン

• マイクロソフト セキュリティ情報 MS05-039 (マイクロソフト)
• マイクロソフト セキュリティ アドバイザリ (899588) (マイクロソフト)
• US Cert 脆弱性ノート VU#998653 (US-CERT)
• Secunia アドバイザリー SA16372 (Secunia)
• CAN-2005-1983（共通脆弱性および露出）
• Bugtraq ID 14513 (SecurityFocus)

• Zotob について知っておくべきこと(Microsoft)
• W32.Zotob 削除ツール(シマンテック セキュリティ レスポンス)
• WORM_ZOTOB.D（トレンドマイクロ）
• Zotob.A (F-Secure)
• Zotob.C (F-Secure)
• WORM_RBOT.CBR（トレンドマイクロ）
• 2005年11月3日、 Wayback Machineにアーカイブされた全タイムライン（Security Blogger）
• Zotob 削除手順

• BBCニュースWindows 2000ワームが米国企業を襲う
• BBCニュースWindows 2000のバグがウイルス戦争の火種に
• BBCニュース米国のコンピュータワームで2人を逮捕
• BBCニュースウイルス容疑者を駆り立てたのは金銭動機
• ニューヨーク・タイムズのウイルスが企業のWindowsコンピューターを攻撃
• CNNワームが Windows 2000 システムを攻撃
• MSNBCのコンピュータワームがメディアを攻撃
• ロイターコンピューターウイルスが米国のメディアを襲う
• Slashdot ZotobワームがCNNを攻撃し、世界中に拡散
• Information WeekのZotobがパッチ適用の「窓」が存在しないことを証明
• Security Now!ポッドキャスト - エピソード1：「ワームが回転するにつれて」[1]