2010 年 10 月 1 日に発見された Trojan.Zbot.B!inf は、Windows Crypto API を使用して Trojan.Zbot を更新する機能を有しています。Crypto API は、Windows にバンドルされている PKI を使用するための関数群で、今までにもいくつかの悪意のあるプログラムに使用されてきました。このトロイの木馬は Crypto API を使用してダウンロードするための URL を作成します。
次の図では、CSP（Cryptographic Service Provider）として RSA を使用し、MD5 ハッシュ値を計算しています。ハッシュ値は、感染したコンピュータの時刻を基本とした数値を元に計算しています。

このトロイの木馬は、1 秒間に 1 個、ハッシュ値を計算し、トータルで 800 個の URL を作成しダウンロードを試みます。目下のところ、そのうち 3 個の URL だけが有効であり、それ以外は無効な URL でした。その 3 個の URL に使われているドメインに登録されている IP アドレスは同じ 1 つのアドレスで、現在、ウクライナにあるサーバーを指しています。私が確認したドメインは 10 月 10 日に登録されているものです。日付を元に URL が作成されており、作成される DNS は日付により異なります。

Trojan.Zbot.B!inf での Crypto API の使われ方 | Symantec Connect