今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。

 　この亜種が実行されると、特定のページ（lex.creativesandboxs.com/locker/lock.php）でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

 　システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

 　受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。



 　したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる：

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

 　月曜日、我々は第1四半期のモバイル脅威レポートをリリースし、その中で「約束を果たす」モバイル版トロイの木馬の数が増加していることを指摘した。それは何を意味しているのだろうか？

 　過去には、モバイルマルウェアはエサとして「無料」のモバイルWebサービスなどを提供することが多かったが、インストール中、トロイの木馬はある種の囮となるエラーメッセージを示した。

 　その時点で、トロイの木馬をインストールする人々は、通常、不審に思うか、問題を解決するため、答えを探そうとする。その結果フォーラムで、自分たちが実際にインストールしたのはトロイの木馬であるという回答を得ることになる。最近は、コンピュータおたくで無くても、スマートフォンを持っており、エサはかなり多様だ。

 　囮メッセージは無い。「エサ」は実際に機能する。

 　以下は、トロイの木馬がRovioの「Angry Birds Space」のワーキングコピーをインストールし、電話に障害を引き起こすトロイの木馬のビデオだ。



ビデオ：トロイの木馬化されたAngry Birds Space

 　そう、問題解決とは比べものにならない…それにコンピュータおたくで無い人のどれだけが、自分たちに約束されたものが疑わしいことに気づくだろうか？　何者かが彼らの電話に障害を引き起こしながら、当人達が気づかないという可能性はかなりある。

 　Androidマルウェアは明らかに進化している。

 　以下は第2四半期中に進化した物の簡単なプレビューだ：



ビデオ：ドライブバイAndroidマルウェア

オライリー・ジャパン様より『実践 Metasploit――ペネトレーションテストによる脆弱性評価』を献本頂きました。ありがとうございます。

本書は『アナライジング・マルウェア』の著者陣も監訳者として参加しております。

本日はとりあえず紹介だけですが、早速拝読させていただき、後日書評を。少々お待ち下さい。 

 　エフセキュアラボのシニアリサーチャJarno Niemelaが、2012年5月17日木曜日、Black Hat Webcastに参加する。

 　テーマは「マルウェアを困難にする」で、システムに障害が起きた場合、マルウェアが適切に機能できないようにするシステム改変にフォーカスする。



 　詳細については、オンラインセミナーの登録ページにある。

 　これまでに1000人以上の人が登録している！

 　BBC World Serviceは先頃、「Danger In The Download」という3回にわたるドキュメンタリーをオンエアした。

 　これは間違いなく傾聴する価値がある。現在、全てのエピソードがオンラインとなっている。



エピソード1 — 増大するハッカーとサイバー兵器によるサイバースペースの脅威。
エピソード2 — ネットのアーキテクチャと自治は現在も目的にかなっているのか？
エピソード3 — インターネットを保護するために政府ができること。

 　ポッドキャスト形式のオーディオの方がお好みなら、エピソード1がダウンロードできる、PRI's The Worldのテクノロジーポッドキャストもお勧めする。

 　2012年第1四半期をカバーする、最新のモバイル脅威レポートを発表する時期が来た。

 　我々の2011年第4四半期レポートは非常に人気があったが、今回の第1四半期版はさらに良いものになっている。コンテンツ（そしてページ）が増え、楽しんで読んで頂けるだろう。



 　利益を目的とした四半期ごとのモバイル脅威：



 　以下からダウンロードできる：モバイル脅威レポート Q1 2012［PDF］

わたくし尾崎リサは、明日2012年5月15日付けでエフセキュアブログ管理人を退任することとなりましたので、ご報告ならびにこれまで支えてくださった全ての方々にこの場を借りて厚く御礼申し上げます。続きを読む