2012年3月15日掲載

株式会社Doctor Web Pacific

Doctor WebはTrojan.Winlock.5729としてウイルスデータベースに追加された新たなWindowsブロッカープログラムを発見しました。このプログラムはWindows標準ツールを使用し、ローカルユーザーパスワードを変更することでシステムへのアクセスをブロックします。Trojan.Winlock.5729はこの機能によって他のWindowsロッカーとは一線を画しています。

従来の恐喝プログラムは特別なアプリケーションを使用してWindowsシェルまたはuserinit.exeを置き換え、システムへのアクセスをブロックして恐喝メッセージを表示させます。それと同時に通常、タスクウェア、コマンドプロンプト、レジストリエディタなどの様々なシステムユーティリティの起動をモニター・ブロックします。しかしTrojan.Winlock.5729の開発者達は全く異なる、よりシンプルな手法を取り入れました。

このトロイの木馬のコードは、コンピューターゲームの様々なパラメーターを調整するためのプログラムArtMoneyと一緒に拡散されます。インストーラーにはArtMoneyの他に3つのファイル－iogonui.exeという名前の、改変されたlogonui.exeファイル（Windows XPのログオン画面を表示する実行ファイル）が1つ、batファイルを含んだ自己展開型アーカイブが2つ－が含まれています。インストーラーを起動すると、Windows VistaおよびWindows 7のC:\Users フォルダをハードドライブ上で検索するコマンドを含んだpassword_on.batファイルが実行されます。フォルダが見つかった場合には有害なコンポーネントは削除されますが、見つからなかった場合、Trojan.Winlock.5729はシステムがWindows XPであると判定し、システムレジストリを改変してlogonui.exeファイルをiogonui.exeファイルと置き換えます。そして現在のWindowsユーザー、およびadminやadministratorアカウントのパスワードを変更してしまいます。現在のユーザーアカウントが制限付きアカウントであった場合、トロイの木馬はそのプロセスを終了し、もう1つのbatファイルpassword_off.batがレジストリ内に元のUIHost値を設定します。

iogonui.exeファイルはWindows XPディストリビューションに含まれている正規のlogonui.exeですが、リソースエディタを使用して、Windows標準ウェルカムスクリーンの代わりに課金型SMSの送信を要求する画面を表示させます。

ひとたびシステムのログオフまたは再起動を行うと、全てのユーザーアカウントのパスワードが変更されているため、ユーザーは再びログインすることができなくなります。

このトロイの木馬のシグネチャは既にDr.Webウイルスデータベースに加えられています。万一システムがブロックされてしまった場合、レジストリブランチHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon　内の値を手動でlogonui.exeに変更してください。