Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Trojan.MBRlockの新バージョン

2011年11月29日掲載

株式会社Doctor Web Pacific


Doctor Webは、WindowsのマスターブートレコードをブロックするTrojan.MBRlock恐喝プログラムの新バージョンを確認しました。Trojan.MBRlock.17として登録されている今回の悪意あるアプリケーションは、自らのコンポーネントを無作為にセクターに組み込むものですが、暗号化されていないロック解除コードを保管しないという点で従来のタイプとは異なります。

Trojan.MBRlockの際立った特徴は、オリジナルMBRをハードディスクの他の部分に保存しながらマスターブートレコード(Master Boot Record, MBR)を変更する点です。そのようにしてOSのスタートに先立って起動し、OSの起動をブロックします。その後、画面にシステムを解除する為に支払いを要求するメッセージが表示されます。

感染したシステム上で起動されると、Trojan.MBRlock.17はそのファイルをランダムな名前で一時ディレクトリ内に保存します。次にcalc.exeプロセス(標準的なWindows電卓)を実行し、そのプロセスにコードを挿入します。挿入されたコードは%APPDATA%\Adobe\Update\ディレクトリにファイルを作成し、explorer.exeを実行してそのプロセス内にもコードを挿入します。そしてexplorer.exeがMBRを感染させ、Windowsを終了させようとします。興味深いことに、従来のものと異なりTrojan.MBRlock.17は活字、画面に表示されるテキスト、オリジナルのMBRコードなどの自身のコンポーネントをランダムディスクセクターに書き込み、そのデータをどのセクターに保存するかを決定するコード定数を変更することが出来ます。ロック解除キーは特定のパラメータに基づいて生成されます。このトロイの木馬はまた、ディスクの第一セクターのバックアップを作成し、パーティションテーブルを削除します。この脅威のシグネチャは、Dr.Webのウィルスデータベースに既に追加されています。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2021

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F