今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。

  この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

  システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

  受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

ZeuS, ransom feature

  したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko