2011年07月21日掲載

株式会社Doctor Web Pacific

有害プログラムTrojan.WinlockファミリーによるロシアユーザーPCの感染は、大分前に終息しました。当時、感染の第一波は2009年末-2010年初、第2波は2010年夏ごろにピークを達しました。しかし、現在、同様の脅威は、ロシアを越えて世界各国のユーザーへ拡大しつつある動向が見られます。Doctor Webによると、主にロシア国外のユーザーを狙うTrojan.Winlock.3846という新たなトロイ木馬の変種が登場しました。ウイルスが流行していると判断するのは時期尚早ですが、Doctor Webの専門チームにより、発見された脅威は、今月に入って2度目となっています。

ロシアは、Trojan.Winlockファミリーのトロイの木馬による被害を受けたユーザー数は、数百万人に上っていますが、今の段階で、その感染は終息に向かっています。これには、www.drweb.com/unlockerというプロジェクト、及びDoctor Webとロシア大手携帯オペレーターによる協調が終息に大きく貢献しました。しかし、現在、世界各国のユーザーも、ブロッカープログラムであるトロイの木馬による問題に益々直面しています。

金銭を要求するプログラムの新たな変種は、HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinitのレジストリブランチに自身へのリンクを書き込んでいます。Windowsユーザーがシステムへログオンするときに、そのレジストリブランチは、システムプロセスwinlogonによるプログラム起動に用いられます。これにより、ウイルスに感染した後、最初のコンピューター再起動後、オペレーティングシステムはブロックされることになります。

通常表示されるWindowsインターフェースの代わりに、感染したコンピューターの画面には、0x3BC3アドレスのシステムプロセスがクラッシュしたとの通知が表示されます。クラッシュを修正するには、ユーザーは指定された電話番号にかけ、指定の欄にブロック解除コードを入力するよう、求める仕組みです。もちろん、それらの電話番号にかけると、料金が発生します。

今回のWinlock変種の特徴は、そのプログラムのリソース内に、コンピューターをブロックするウィンドウについて、Windowsの様々なローカライズ版を対象に、少なくとも、英・仏・露版を含む幾つかの言語版が入っていることです。

Trojan.Winlock.3846による影響を受けたオペレーティングシステムのブロックを解除するには、以下のブロック解除コードをご利用下さい。

754-896-324-589-742

依然としてDoctor Webは、ユーザーに対して、信頼性の低いリソースからダウンロードされたアプリケーション、及び発信元の不明な電子メール内の添付ファイルを起動しないことを強くお勧めします。また、ウェブページを閲覧するときに、モジュール、又はプラグインのインストールを尋ねるブラウザーからのダイアログボックスが表示されたら、ご注意下さい。

Trojan.Winlock.3846で被害を受けた場合、緊急システム復元ツールDr.Web LiveCD 、及び修復ユーティリティーDr.Web CureIt!をご利用下さい。