2011年11月29日掲載

株式会社Doctor Web Pacific

Doctor Webは、WindowsのマスターブートレコードをブロックするTrojan.MBRlock恐喝プログラムの新バージョンを確認しました。Trojan.MBRlock.17として登録されている今回の悪意あるアプリケーションは、自らのコンポーネントを無作為にセクターに組み込むものですが、暗号化されていないロック解除コードを保管しないという点で従来のタイプとは異なります。

Trojan.MBRlockの際立った特徴は、オリジナルMBRをハードディスクの他の部分に保存しながらマスターブートレコード（Master Boot Record, MBR）を変更する点です。そのようにしてOSのスタートに先立って起動し、OSの起動をブロックします。その後、画面にシステムを解除する為に支払いを要求するメッセージが表示されます。

感染したシステム上で起動されると、Trojan.MBRlock.17はそのファイルをランダムな名前で一時ディレクトリ内に保存します。次にcalc.exeプロセス（標準的なWindows電卓）を実行し、そのプロセスにコードを挿入します。挿入されたコードは%APPDATA%\Adobe\Update\ディレクトリにファイルを作成し、explorer.exeを実行してそのプロセス内にもコードを挿入します。そしてexplorer.exeがMBRを感染させ、Windowsを終了させようとします。興味深いことに、従来のものと異なりTrojan.MBRlock.17は活字、画面に表示されるテキスト、オリジナルのMBRコードなどの自身のコンポーネントをランダムディスクセクターに書き込み、そのデータをどのセクターに保存するかを決定するコード定数を変更することが出来ます。ロック解除キーは特定のパラメータに基づいて生成されます。このトロイの木馬はまた、ディスクの第一セクターのバックアップを作成し、パーティションテーブルを削除します。この脅威のシグネチャは、Dr.Webのウィルスデータベースに既に追加されています。