Trojan.Ransomlock や Trojan.Fakeavlock、Trojan.Winlock のようにコンピュータをロックするマルウェアの同類として、Trojan.Shadowlock が出現しました。ただし先行する同類のマルウェアとは異なり、Trojan.Shadowlock はすぐにオンライン送金を要求するのではなく、オンラインアンケートに入力することを「推奨」します。アンケートは一般的にほとんど儲けはありませんが、長い目で見れば最終的にはプラスになります。Trojan.Shadowlock に関しては、作成者がユーモアのセンスを持ち合わせているらしく、リバースエンジニアリングで見つかるように一種のイースターエッグが仕掛けられています。映画『未知との遭遇』で使われた、あの 5 音のメロディが再生されるのです。このメロディはあまりにも有名で、あらゆるメディアに何度も登場してきました。今回、マルウェア作成者はユーザーのコンピュータに感染するプロセスの一部としてこれを実装しています。
技術的な詳細
実行すると、次のようなポップアップメッセージが表示されます。
図 1. コンピュータのロックを解除するためのポップアップメッセージ
このメッセージは画面に表示され続けますが、移動することは可能です。閉じるボタンをクリックしてメッセージを閉じようとすると、ロック解除の失敗と見なされます。タスクマネージャ、コマンドプロンプト、PowerShell、Regedit、MSConfig などさまざまなツールを使ってマルウェアの無効化を試みてもすべて拒否され、復元ポイントに戻る試みさえ Trojan.Shadowlock によって妨害されてしまいます。ロック解除コードの入力を 3 回失敗するとシステムがシャットダウンされ、再起動しても 20 秒後にはまたポップアップメッセージが表示されます。したがって、この 20 秒間のうちに上述のツールを使えば、Shadowlock は無効化できることになります。その点で、今回のマルウェア作成者はそれほど破壊的ではなさそうです。アンケートに答えることを選択した場合は、アンケートのリストが表示され、その中から選べるようになっています。
図 2. アンケートのリスト
コードを詳しく調べると、いくつか興味深い特徴に気づきます。まず、Shadowlock は .NET で作成されており、インストールして正常に機能するにはバージョン 2.0 以降の .NET Framework が必要です。.NET のデコンパイラで確認すると、Trojan.Shadowlock の内部動作を見ることができます。
図 3. Trojan.Shadowlock の最上位層
Trojan.Shadowlock の最上位層は、リソースの復号に関係しています。復号してから Loqvd というリソースを解析すると、BotKill() や EraseStartup() といった関数が含まれていることがわかります。Shadowlock がこれらを使うことはありませんが、ファイルの圧縮解除に利用される関数などは実際に使われています。最上位層は、3 つすべてのリソースの復号に使われます。次に Loqvd を使って、リソース Egg と Iudu の復号されたバージョンが圧縮解除されます。メインのペイロードは、Iudu リソースの中にあります。作成者は、.NET の実行可能ファイルがこのようにデコンパイルできることを知っていて、解析を難しくするために 1 つ以上の層を追加したのかもしれません。
図 4. 復号と圧縮解除を経た Iudu リソース
Iudu リソースを調べると、JavaScript を利用した脅威と類似の不明瞭化が使われており、同じように不明瞭化を解除できることがわかります。しばらく経つと、Shadowlock はようやくその機能を明らかにします。Shadowlock は利用者の多いブラウザ(Firefox、Chrome、Internet Explorer、Safari、Opera)を強制終了したり、特定のシステムツールを無効にしたりするなど、各種の処理を実行できます。ハードディスクの空き領域を使い尽くしたり、Windows のファイアウォールを無効にしたりするほか、デフォルトの Web ブラウザを介してショッキングな内容の Web サイトにリダイレクトする機能まで備えています。遊び半分の機能としては、マウスボタンを入れ替える、CD トレーを開ける、「電卓」や「ペイント」のような OS 標準の基本アプリケーションを起動するといった動作もします。
こうした機能の大部分が、コードから呼び出されているのではないことに注意してください。考えられる可能性は 2 つあります。ひとつは、作成者が何らかのコードを発見し、その上にアンケート詐欺を追加しただけの可能性で、もうひとつは作成者がいわば探りを入れているという可能性です。そうなると、これらの機能が(他の機能も含めて)今後の亜種に組み込まれることも考えられます。シマンテックは、この脅威を Trojan.Dropper、Trojan Horse、または Trojan.Shadowlock として検出し、脅威から保護します。シマンテックの遠隔測定によると、この脅威はさほど拡散してはいません。とは言っても油断は禁物です。CD トレーが勝手に開いたり、『未知との遭遇』のメロディが流れてきたりした場合は、Shadowlock と遭遇してしまったのかもしれません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。