今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。
この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。
システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。
受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:
1. セーフモードでシステムを起動
2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
3. syscheckキーの下に新しいDWORD値を作成
4. 新しいDWORD値の名称をCheckedに設定
5. Checked値のデータを1に設定
6. 再起動
SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analysis by — Mikko S. and Marko
この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。
システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。
受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:
1. セーフモードでシステムを起動
2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
3. syscheckキーの下に新しいDWORD値を作成
4. 新しいDWORD値の名称をCheckedに設定
5. Checked値のデータを1に設定
6. 再起動
SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analysis by — Mikko S. and Marko















