Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

システムへのアクセスパスワードを変更する新たなWindowsロッカー

2012年3月15日掲載

株式会社Doctor Web Pacific


Doctor WebはTrojan.Winlock.5729としてウイルスデータベースに追加された新たなWindowsブロッカープログラムを発見しました。このプログラムはWindows標準ツールを使用し、ローカルユーザーパスワードを変更することでシステムへのアクセスをブロックします。Trojan.Winlock.5729はこの機能によって他のWindowsロッカーとは一線を画しています。

従来の恐喝プログラムは特別なアプリケーションを使用してWindowsシェルまたはuserinit.exeを置き換え、システムへのアクセスをブロックして恐喝メッセージを表示させます。それと同時に通常、タスクウェア、コマンドプロンプト、レジストリエディタなどの様々なシステムユーティリティの起動をモニター・ブロックします。しかしTrojan.Winlock.5729の開発者達は全く異なる、よりシンプルな手法を取り入れました。

このトロイの木馬のコードは、コンピューターゲームの様々なパラメーターを調整するためのプログラムArtMoneyと一緒に拡散されます。インストーラーにはArtMoneyの他に3つのファイル-iogonui.exeという名前の、改変されたlogonui.exeファイル(Windows XPのログオン画面を表示する実行ファイル)が1つ、batファイルを含んだ自己展開型アーカイブが2つ-が含まれています。インストーラーを起動すると、Windows VistaおよびWindows 7のC:\Users フォルダをハードドライブ上で検索するコマンドを含んだpassword_on.batファイルが実行されます。フォルダが見つかった場合には有害なコンポーネントは削除されますが、見つからなかった場合、Trojan.Winlock.5729はシステムがWindows XPであると判定し、システムレジストリを改変してlogonui.exeファイルをiogonui.exeファイルと置き換えます。そして現在のWindowsユーザー、およびadminやadministratorアカウントのパスワードを変更してしまいます。現在のユーザーアカウントが制限付きアカウントであった場合、トロイの木馬はそのプロセスを終了し、もう1つのbatファイルpassword_off.batがレジストリ内に元のUIHost値を設定します。

iogonui.exeファイルはWindows XPディストリビューションに含まれている正規のlogonui.exeですが、リソースエディタを使用して、Windows標準ウェルカムスクリーンの代わりに課金型SMSの送信を要求する画面を表示させます。

screen

ひとたびシステムのログオフまたは再起動を行うと、全てのユーザーアカウントのパスワードが変更されているため、ユーザーは再びログインすることができなくなります。

screen

このトロイの木馬のシグネチャは既にDr.Webウイルスデータベースに加えられています。万一システムがブロックされてしまった場合、レジストリブランチHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 内の値を手動でlogonui.exeに変更してください。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2021

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F