Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？

起動できないPCのレジストリを操作可能な「REG LOADコマンド」を活用

2009.11.02

山下眞一郎／富士通九州システムズ　基盤ソリューション本部
ネットソリューション部　担当部長

　ある企業のシステム管理者から，こんな相談を受けました。「社内のあるWindows XPパソコンが，電源をオンにしても正常に起動せず，画面が真っ暗なまま，マウス・ポインタだけが表示される。状況からすると，現在流行中のWin32/Daonolの亜種に感染したようだ。セーフモードでも起動できず困っている。リカバリCDを使用した初期化は避けたい。アドバイスしてほしい」。

　Win32/Daonolはいわゆるトロイの木馬と呼ばれる不正プログラムで，ネットワーク・トラフィックの監視，FTPアカウント情報の奪取，特定のプロセスの実行阻止などの機能を持っています。名称は，トレンドマイクロが「TROJ_DELF.WQD」，シマンテックが「Infostealer.Daonol」，マカフィーが「Lando」というように，セキュリティ・ベンダーによって異なります。

　そのWin32/Daonolの亜種が10月中旬ころから流行しています。セーフモードでもパソコンを起動できないことから，各パソコン・ベンダーのサポート窓口にトラブル対応を求める電話が集中し，電話がつながりにくくなる事態が発生しているようです。

■Win32/Daonol（マイクロソフト）
■TROJ_DELF.WQD（トレンドマイクロ）
■Infostealer.Daonol（シマンテック）
■Lando（マカフィー）

［関連情報］
・電話お問い合わせ窓口の混雑について（お詫び）［富士通：2009/10/22］
・【お詫び】電話お問い合わせ窓口の混雑について［NECパーソナルプロダクツ：2009/10/26］
・【お詫び】VAIOカスタマーリンク電話相談窓口の混雑について［ソニー：2009/10/27］

　これはマイクロソフトでも認識しており，「日本のセキュリティチーム」のブログには10月23日付で，「黒い画面にマウスカーソル（Win32/Daonol）」という記事がエントリーされています。このWin32/Daonolの亜種は，感染したパソコンを起動できなくすることが目的ではありません。ブログ中でも「Daonolの不具合？なのか，OSの起動シーケンス中に，無限に処理待ちを起こしてしまうことがある」とされています。また，画面が真っ暗になりマウス・カーソルしか表示しない現象は，Windows XPだけで発生しています。

　このほか，各パソコン・ベンダーもこのWin32/Daonolの亜種に関するレポートを公開しています。

・「コンピュータウイルス「Trojan.Win32/Daonol.H」について」［東芝：2009/10/22］
・「コンピュータウイルス「Win32/Daonol」に関するご注意」［デル：2009/10/22］
・「[Windows XP,Windows Vista]Windowsの起動時に真っ黒な画面になり，マウスポインターしか表示されない」［ソニー：更新日2009/10/26］
・「パソコンが起動しない！ウイルス「Win32/Daonol」の感染が拡がっています」［富士通：2009/10/26］

レジストリ値のmidi9削除で解決

　では，このセーフモードでも起動できないパソコンを，「リカバリCDを使用して初期化せずに，再起動可能にする」にはどうしたらよいでしょうか。これらのレポートを読むと，次のようなヒントがあります。ただし，保証するものではありません。

■WinPEイメージによる起動か，Windows Vista 以降の回復コンソールを使用して特定のレジストリ値“midi9”を削除する（マイクロソフト）
■感染して起動できないパソコン内のハードディスクを取り出して，別の正常なパソコンに外付けのハードディスクとして接続し，ウイルス駆除を実施する（マイクロソフト，デル）

　こうした手法は簡単に実施できるものではありません。そこでレポートによっては，起動できなくなったパソコンを，データや設定を残したまま復旧する有料サービスを紹介しています。

　Win32/Daonolの亜種は，本体を感染ターゲットのパソコンにコピーし，特定のレジストリ値“midi9”を追加して，パソコンを起動するたびに実行されるようにする単純な仕組みです。ですから，追加された特定のレジストリ値“midi9”を削除すれば，とりあえず起動可能にはなるようです。

　この特定のレジストリ値“midi9”をピンポイントで削除し再起動可能にする方法を記載したレポートもあります。富士通の以下のサポート情報に記載されています。以下では，その内容を紹介しましょう。

・［Windows XP］Win32/Daonolウイルスに感染したときの対処方法を教えてください。［富士通：更新日2009/10/27］

　レポートには対処方法のコマンドそのものしか記載されていませんので，コマンドの意味の解説を加えると，手順は以下のようになります。ただし，この対処法も動作を保証するものではありません。

（1）感染したパソコンを起動可能、かつ“Windows XP標準のDOSプロンプト”を使用可能なCD/DVDを用意する

　富士通はこうしたCD/DVDを「リカバリ&ユーティリティディスク」，「サポートディスク」などと呼んでいます。他のベンダーのCD/DVD添付状況や内容は各ベンダーにお尋ね下さい。なお，“Windows XP インストールディスク”から起動した「回復コンソール」のDOSプロンプトは，後述するReg.exeが含まれていないため，今回のケースでは有効ではありません。ちなみに，“Windows Vistaインストールディスク”から起動した「システム回復オプション」（回復コンソールの後継機能）にはReg.exeも含まれています。

（2）CD/DVDから起動後，CD/DVD起動したOS配下からDOSプロンプトを起動する（レポートの例では，システム・ルートはEドライブとなっている）