Windowsが起動しない 「Win32/Daonol」ウイルス

10月中旬以降、黒い画面にマウスカーソルが表示されWindowsが起動しないトラブルが増えているようです。一概にWindowsが起動しないトラブルといっても様々なタイプ・原因があるのですが、今回増加しているトラブルは、ハード的なものではなく、ウイルス性によるものです。特徴としてこのトラブルはWindows XPのみで起きるものであり、Vistaなどではまだ報告されていません。またパソコンがセーフモードでも起動しないということもあげられます。

黒い画面にマウスカーソル・マウスポインターのみ表示され、Windowsが起動しない。セーフモードでも起動することはできません。

黒い画面

起動しない場合のパターンですが、主にWindowsロゴ画面後、黒い画面にマウスカーソル・マウスポインターのみ表示されその後一向に画面が進まないというものです。これに類似したものとして自分が確認したのが、同じくWindowsロゴ画面後に、「lsass.exeアプリケーションエラー」や「userinit.exe アプリケーションエラー」が表示されてWindowsが起動しない、あるいはデスクトップ画面の壁紙のみ表示されるというものがありました。

後者の2種類のアプリケーションエラーの表示によるものは別物のトラブルかと思ったのですが、後述する対処法で直ったので、結果としてまったく同じトラブル・原因であったということが推測できます。

メーカーサイトでも問い合わせが増えているためか情報が公開されています。下記にはあげてませんがNECやSONYなどほぼすべての大手パソコンメーカーがホームページで「Win32/Daonol」ウイルスによるWindowsが起動しないトラブルについて情報を掲載をしています。

コンピュータウイルス「Trojan.Win32/Daonol.H」について Toshiba

このトラブルは、「Win32/Daonol」と呼ばれるトロイの木馬への感染が原因だということが指摘されています。「Win32/Daonol」は別名「JSRedir-R」、「GENOウィルス」、「Gumblar」などとも呼ばれます。感染経路としては、メールの添付ファイル、メールに記載されたURLのクリック、改ざんされたWEBサイトの閲覧した際のアプリケーションソフトの脆弱性が突かれるなどが考えられます。

PCが起動しない―ウイルス「Win32/Daonol」の問い合わせ相次ぐ InternetWatch

自分が実際にこのトラブルに遭ったパソコン数台を確認して得た情報は下記のようなものです。とくにいかがわしいサイトを見ていたというわけでもなく、パソコンは様々なパターンで感染していました。

  • インストールされていたウイルスソフトではAVG、ウイルスセキュリティゼロ、Windows Live One Careなどあり
  • IEバージョンは、6および最新の8もあり
  • サービスパックは、SP1、SP3もあり

あまりこれといった特徴はなさそうな感じです。しかしながらWebサイトを閲覧するだけで感染してしまうタイプのウィルスの一種であることは間違いなく、Adobe Flash PlayerやAdobe Acrobat,Adobe Reader の脆弱性が使用されているとの情報です。

JPCERT コーディネーションセンター

「Win32/Daonol」は、「Gumblarウイルス」や「GENOウイルス」ともいわれており、Web サイトが改ざんされて意図しないJavaScript を埋め込まれ、そのサイトを脆弱性のあるパソコンで閲覧した際にパソコンが感染します。改ざんされたWEBサイトは、ごくごく一般的なサイトが多く、事前に見分けるのが難しいというのがあります。

対処法

ところで、この「Win32/Daonol」に感染し、Windowsが起動しなくなったときの対処法ですが、自分が知っている限りでは下記の通りです。難易度が高く、XPやVistaのインストールディスクがないと対処できないという状況です。手っ取り早く復旧させるなら、データ救出後のリカバリーという手法になるかと思います。データ救出はKNOPPIXなどを利用します。データ救出は比較的簡単であるものの、リカバリーせざるを得ないとなると、なかなかやっかいなトラブルといえるかもしれません。

  1. 回復コンソールによるシステムの復元→マイクロソフト
  2. Bart’s PEやWindows PEを使用したコマンドプロンプト
  3. Windows Vista インストールDVDを使用したコマンドプロンプト
  4. リカバリー
  5. Fujitsu製のパソコンは、一部のディスクでコマンドプロンプトが使用可能。対応ディスクはこちら

お勧めは、2と3になります。このコマンドプロンプトでの入力内容はFujitsuで紹介されているものをそのまま適用することができます。→Fujitsu。自分はBarts PEとVistaインストールDVDの両方で入力してみてWindowsの起動を回復することができました。ディスクさえあればコマンドの入力でWindowsの起動をデータ・プログラムを保持したまま回復させることができます。

ところで仮に起動しても感染元のWEBサイトが分からないと、再度サイトを閲覧して感染するのではないか?またまだ感染したことがないユーザーにとっては対策をどのようにすればいいのかはっきりさせたいところです。

前述したようにAdobe Flash Player、Adobe Reader、Adobe Shockwave Playerのアップデートは必ず行っていたほうがいいかと思います。Adobeのホームページでアップデートは可能です。またAdobe Acrobatのユーザーならそれのアップデートもしておいたほうが賢明です。それに加えてウイルス定義ファイルのアップデート、Windowsのアップデートも最新の状態にしておけば、感染する確率を激減させることができるはずです。






コメントを残す



サブコンテンツ