ワンクリック・ウェア警戒注意報でござるよ

2012.1.5 作成
最終更新日 2012.7.26

はてなブックマーク  Topsy.com

最近のんは1クリックではなく、2,3,4,5,6... だったりするのですが(携帯サイトなど古典的1クリックも健在らしい?)ワンクリ系ということでそこはそれ。

※ 尚、お約束ですがこのページの内容は書いてる時点のものであくまで一例にすぎないかも、ワタシはただのヘタレ・シロウトなので細かい点は間違いなどあるかも。文章下手なのでまとまってないかもかも。堪忍をば。

知ってる人は引っかからないYO!

※ まぁ今のところですが...

厄介で危険なウイルスの様にセキュリティホールを狙って自動感染(受動的攻撃)させてるわけではないのです。

騙しだましでユーザー自身に実行するように仕向けてるのであります。なので自分で実行しなければダイジョブなのです。

むかし流行ったダイアラーとかと基本的な手口は似とります。せやから知っといたらなんも怖いことあらしまへんです。

これって何やの? 3

なんか動画を見ようと(もちろんエロですかw)クリックして行ったら、デスクトップ画面になんやら怖い請求画面が・・・

hogehogeのスクリーンショット

hogehogeのスクリーンショット

とりあえず、これって詐欺なんで(先日業者タイーホ!がありましたねぇ)お金払う必要はありまへん。

修復(画面消去)については、ウイルス・スパイウェアの類に比べればそれほど難しくはないと思いますけど、慣れてない人(ウチもですーw)にとってはシンドい作業なので感染しないに越したことはあれへんやですやんなぁー、ちゅうことで。

オレオレ詐欺なんかと一緒で事前に知ってたら引っかかることはないと。せやから絶対知っといて欲しいと思うわけであります。(「えー、わざわざネットでエロってー」とかゆうてる人が「簡単に見れんねんでぇ」とか聞くと「え?ほんま?」とかゆうて見事に感染したりすることもw・・・いや笑いごとやあれへんぇーw)

ちなみに私は自宅でインターネットを利用して3日目ぐらいでダイアラーに引っかかって18,000円請求されました。全く他人のことを言えないと自負しております。いや、自覚してます、してるんですけど。いや、ホンマに...(自爆w)

参考ページ

個人サイトですがめっちゃ詳しいです。

ページ先頭 U

どないしたらそうなるん?(Why?) 4

感染してもうたのはなんで?

単刀直入に言ってまうと、(そーゆう設定を実行する)セットアップファイルを実行したからであります。

ほな、なんでそんなん簡単に実行するんや?と思われますが、「おぉ、これを開いたら(= 実行したら)動画が見れんねんでぇー」てな風にうまいこと勘違いさせとるちゅうわけ。

  1. 動画再生ボタンのクリック時にポップアップウィンドウで誘導
    • もしくは、「入口はこちら」「見放題」とかの騙し広告リンクで誘導
  2. 動画が見れると思い「年齢認証」やらなんやらクリックしていくとファイルのダウンロード画面が
  3. サイト内の説明に「“実行”か“開く”してね!」とあるんでそのまま実行と・・・もはやこれまで。

下記のような画面はほぼすべていわゆる「ワンクリックウェア」をダウンロードさせるやつです!

チェックボックス画面のスクリーンショット

実際にはもっとハデハデだったりしますが、こんなかんじの画面が出たらとっととサヨナラしませう

これをクリッククリックして行って動画再生のつもりが何やらダウンロードの確認画面が出て来よるんですなぁ。

XP IE8 ダウンロード確認画面のスクリーンショット

7 IE9 ダウンロード確認画面のスクリーンショット

7 IE9 ダウンロード確認画面のスクリーンショット

※ 上の例ではファイル名・拡張子が確認できますが、引数のような長い文字の羅列が表示されてファイル名が確認できないこともある。また拡張子が偽装されていることもあるのでご注意!

拡張子偽装 - 7 IE9 ダウンロード確認画面のスクリーンショット

「実行」「開く」でドボンとなりまする。(保存後に実行でも同様)

ページ先頭 U

IEのダウンロード時の仕様はいかがなものかと 5

微妙な違いかもしれませんがIEではダウンロードの確認画面でそのまま「実行」または「開く」ことが可能になってますよね。保存後に実行すれば同じなのですが、IEの場合はなんか直接実行を促してるような画面構成になってるかんじがします。ホントに微妙ですが、やはりダウンロードは一旦保存してからワンアクション入れた方がいいかと愚考したりしてます。

とりあえず下記画面ではキャンセルあるのみ。「実行」「開く」したらドボンですYO!

ファイルの種類は動画じゃなくアプリケーション(実行可能ファイル)、未登録アイコンはあやしいかほり。

XP IE8 ダウンロード確認画面のスクリーンショット

XP IE8 ダウンロード完了画面のスクリーンショット

ファイルの種類の表示がないはいかがなものかと

7 IE9 ダウンロード確認画面のスクリーンショット

ただの「保存」では設定フォルダにダウンロードされます。(デフォルトは C:\Users\ユーザー名\ダウンロード

7 IE9 ダウンロード確認画面のスクリーンショット

7 IE9 ダウンロード完了画面のスクリーンショット

ファイル実行時の警告画面のスクリーンショット

IE9 - Windows 7 の「ダウンロードの表示」画面のスクリーンショット

Firefox, Chrome, Opera などIEに比べると安全面だけ(※ この手のIE用スクリプトは他のブラウザではまともに動かないことも多いです)でなく機能的にもかなり便利だと思うんで、最初はメンドウですが乗り換えした方があとあとシアワセになれるかと。

Chrome は Flash Player 同梱なので動画見るにはいちばんいいかもです。

ページ先頭 U

どんなサイトが危険なん?(Where?) 6

危険なのはワンクリのサイトそのものなわけですが、どんな風にワンクリ系サイトに誘導してんの?どんな広告がダメなん?とか。

動画投稿サイト(動画共有サイト)

国内でもありますが、なぜか海外サイトでも多いもようです。

  • 再生しようとするとワンクリ・サイトのポップアップが出る
  • 広告「入口はこちら」「無料・見放題」などの騙しリンク
エロ・ブログ(いわゆるエログ)

テンプレで作ってんのかよう似た騙しリンク満載のエログがぎょうさんおますなぁ(いや私は詳しくないですよ、ホンマに...orz)。

やたらハデなアイコンのバナーとかは要注意ですなぁ。

これ以外なら安全というわけではござらぬ!

まぁ、エロ・サーフィン(笑)してたら頻繁に遭遇しますんで。慣れたらほぼわかるようになるんではなかろうかと。

ページ先頭 U

どんなしくみやねん?(How?) 7

あっと、あくまでワタクシの知ってる範囲の話です。新種・亜種の発生も多いようなので最近よくあるパターンについてのみです。すみません。

ほげ.hta ファイルを実行させる

ダウンロードさせる .hta ファイルは「セットアップ」用のファイル。ウイルスみたいなヤツです。

自動起動設定

(自動起動と言っても、大したモノではなく特定のWebページやhtml(xmlかな?)を表示させてるだけと思いますが。)

自動起動させる設定は主に3種類かな?

  • レジストリ設定
  • タスク スケジューラに登録
  • スタートアップフォルダにスクリプトやショートカットを置く(最近はあんまりないのかな?)

これらを組み合わせて一つを消しても別のが動くように冗長化しているもようです。

mshta.exe と wscript.exe
  • mshta.exe でWebページを表示
  • mshta.exe で .hta ファイルを実行
  • wscript.exeで .vbs (VBScript) ファイルなどWSHスクリプトの実行

※ VBScript でも mshta.exe を実行させてるのかもしれない。

この2つの実行ファイルはWindowsに元々あるMicrosoft製の正規ファイル。なのでウイルス対策ソフト等ではもちろん検出されない(っていうか削除したらあかん)。

で、スクリプトの方はエンコード(符号化)されてる場合が多く検出されにくい様であります。

ページ先頭 U

修復するんは 8

そんなに何度も確認したわけではないでの完全処理については自信ないです。

よくあるパターンについて、あくまでとりあえずで一時的処置について書いときます。

できれば事前に HijackThis などでログを取っておくことをおすすめ

  1. 自動起動を止める(起動中だと以下の処理が無効化されることがあるため)
  2. ファイルの削除
  3. レジストリ設定などの削除
  4. 履歴・キャッシュの削除(念の為に)

自動起動さえ止めればあとはゆっくり作業すればいいのでないかな(まぁ当事者はいろいろでしょうが...)

参考ページ

自動起動を止める

※ あくまで一例ですけど...

  1. タスク スケジューラを確認(Windows XP では不要なのかな?登録されても動かなかったり)
  2. msconfig で不正起動のチェックオフ
タスク スケジューラを確認
  • タスク スケジューラ(タスク フォルダ)の起動
    • スタート メニュー (すべての)プログラム アクセサリ システム ツール タスク( スケジューラ)

【注意】普通はもっといっぱいあります。Google とか Real とか。

タスク スケジューラのスクリーンショット

不正エントリがあれば右クリックから無効化(XP ではプロパティで「実行する」のチェックオフ)しませう

※ 監視されてる場合など設定が元に戻されることがあるかもしれない。不正ファイルの実行停止処置やセーフモードでの確認など試行錯誤が必要になるかも?

msconfig で不正起動のチェックオフ
  • msconfig.exe(システム構成ユーティリティ)の起動
    • ファイル名を指定して実行 msconfig と入力してOK
    • 7 では スタートメニューの検索窓に msconfig.exe 入力でメニューに出るかも

【注意】普通はもっといっぱいあります。

msconfig.exe(システム構成ユーティリティ)のスクリーンショット

あやしいエントリのチェックをオフ、Windows を再起動してエロ請求画面が出ないか確認しませう。

※ 上記同様、監視されてる場合など設定が元に戻されることがあるかもしれない。不正ファイルの実行停止処置やセーフモードでの確認など試行錯誤が必要になるかも?

※ 再起動時に「システム構成ユーティリティ」のメッセージが表示された場合は「〜表示しない」にチェックしときませう。

msconfig のレジストリ及びバックアップについて

チェックを外したエントリは下記のキーの下にスタートアップ項目の名前などでキーが作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig の一つ下の
    • startupreg - 設定などはこの一つ下に項目の名前のキー
    • startupfolder - スタートアップフォルダのファイルの場合はこの一つ下にパスなどのキー

【追記】また、msconfig で「スタートアップフォルダ」をオフにした場合、下記の位置ににバックアップが取られるのでレジストリ削除後にファイルを削除しませう。

  • C:\Windows\pss\ファイル名.Startup

ページ先頭 U

ファイルの削除は慎重に!

その前に...不正ファイルを特定するにはレジストリやショートカットのプロパティなどの調査が必要になるんで、わかる人にしかわからないかもしれません。説明足らずですみません。。。

不正だとわかるものを削除すればいいのですが間違うといけないんで注意点だけを

正規ファイルは削除しない

多分削除できないと思いますけど、下記は Windows の正規ファイルなので注意。

  • C:\Windows\System32\mshta.exe
  • C:\Windows\System32\wscript.exe

64ビット版では下記の場合がある

  • C:\Windows\SysWOW64\mshta.exe
  • C:\Windows\SysWOW64\wscript.exe

※ 但し、コピーされたものについては削除してもおk

正規フォルダを削除しない

最近のは不正ファイルを既存フォルダに投下することが多いので慎重に確認しませう。

ショートカット (.lnk) ファイルの見え方

矢印があるのでショートカットだとわかりますが、下記画像の様に拡張子 (.lnk) が見えません。

エクスプローラーでの .lnk ファイルのスクリーンショット

また、この画像の様にアイコンは変更可能だったりするのでご注意。

ページ先頭 U

レジストリ削除は慎重に!

これも間違うといけないのでちょっとだけ。

msconfig.exe(システム構成ユーティリティ)でチェックを外した設定は下記のレジストリキー以下にありますので該当のキーを削除しませう。

削除する前に念の為、親キーの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig を念のためにエクスポート(バックアップ)しときませう。

削除するキーは下記の下にあります。

削除するキーはこの下の設定名のキーなのでご注意。。

【追記】また、msconfig で「スタートアップフォルダ」をオフにした場合、下記の位置ににバックアップが取られるのでレジストリ削除後にファイルを削除しませう。

ページ先頭 U

履歴・キャッシュの削除

キャッシュから復活したりすることは普通はありませんが、ウイルススキャンで検出してあわてたり、履歴から間違ってアクセスしちゃったりするといやなので、履歴・キャッシュ関連を削除しときませう。

終了時に削除する設定をおすすめ。

ページ先頭 U

めも 9

ウイルス対策ソフトの対応は?
  • MSSE (Microsoft Security Essentials) は全然だめ
  • avast! AntiVirus ではダウンロードがほぼブロックされる模様
  • Norton AntiVirus ではたまに危険ファイルとして警告が出たり
  • ウイルスバスターはウイルス定義(パターン)で一部?対応かな
  • ウイルスセキュリティはスクリプト関連の実行時は内容がなんでもすべて警告を出すみたい
新種・亜種が続々と...

現時点ではこんなもんですが、もっとやっかいなものが出てくるかもですねぇ。

でも、そうなってウイルス対策ソフトに検出されまくったり、業者がバシバシ摘発とかなって廃れたりしないかな。

IE以外のブラウザを使用

まぁ、絶対とか完全とか一概には言えませんが、相対的にはIE以外のブラウザの方が安全なことが多いかと。

というか、最初はメンドいけど Firefox や Chrome などはカスタマイズするとめちゃ作業効率アップするんで便利です。

Chrome は動画再生とか結構軽快なかんじがします。Flash Player 同梱なのでアップデートが楽かも。

IEの設定とか

メインで別のブラウザ使っててもたまにIEを使う機会あると思うんで、なるべく安全な設定で。

最新のIEで

XPならIE8、Vista以降は IE9 で(もうじきIE10かな)

タブはすべてポップアップで
  • 「常に新しいタブでポップアップを開く」にチェックしとくべきかと

ツールバーとかがないウィンドウが出てくるとややこしいので。

SmartScreen フィルターを有効に

危険なサイトをブロックしてくれたりします。

完全ではないけど・・・(エロ画面は表示されなくても設定なんかはきっちりされちゃったりすることも)

ページ先頭 U

私的ばっちめも

============================================================
C:\Documents and Settings\aidamomo\デスクトップ\BunBackup_J.lnk
============================================================
リンク先 : C:\Program Files\Nagatsuki\BunBackup\BunBackup.exe
引数     : /APPDATAFOLDER "D:\Documents\Backup\bunbackup_bluesky.lbk"
コメント : 
作成日時 : 2011/07/30 6:49
更新日時 : 2011/10/16 15:00
コマンドで MSConfig キーのバックアップ

念の為に丸ごとバックアップ。デスクトップの「わんくり_backup」フォルダにバックアップ。

下記をコキペ

set desktop=デスクトップ
ver | find "Version 6" >nul && set desktop=Desktop
set "Backup=%UserProfile%\%desktop%\わんくり_backup"
mkdir "%Backup%" 2>nul
set "BackupReg=%Backup%\MSConfig.reg.txt"
set "RegKey=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig"
reg export "%RegKey%" "%BackupReg%"

これを最後の改行を含めて(一番下空白行の先頭まで)コピーしてコマンド窓に右クリック貼り付けするする(最後の行で止まってたらEnter押し)。

※ 元に戻す場合は、MSConfig.reg.txtMSConfig.reg に変更してWクリック。

コマンドでキーの削除(わかる人向け)

※ これはキーが長いとコピペ失敗しそうなので手動(レジストリエディタ使用)の方がいいかもしれない

Vista/7 ではコマンドプロントを「管理者として実行」する。

  1. 上記で取った MSConfig.reg.txt で削除するキー名を確認
  2. テキストエディタ上でこんな風にコピペしつつ書き書き(引用符 " も必要なのできっちり!)
set "RegKey=ここに削除するキーのフルパス"
reg query "%RegKey%" && reg delete "%RegKey%" /f
  1. これを最後の改行を含めて(一番下空白行の先頭まで)コピーしてコマンド窓に右クリック貼り付けするする(最後の行で止まってたらEnter押し)
  2. 2段目でキーのフルパスが表示されるので確認して y - Enter

確認は

reg query "%RegKey%"

「...見つかりませんでした」と出ればおk

コマンドプロンプトでファイルの削除(わかる人向け)

慣れてる人には言わずもがなですが、テキストエディタでコマンド文を書いてから貼り付けると一発なので楽。

ディレクトリではなくファイルのみ削除する場合。

一例として、対象ファイルが以下とすると

 C:\Users\aoisora\AppData\Roaming\Identities のディレクトリ

2012/01/05  19:58             1,108 VirtualHC.lnk
2012/01/05  19:58                 0 VirtualHC.LOG

 C:\Users\aoisora\AppData\Roaming\Macromedia のディレクトリ

2012/01/05  19:58            11,608 citrin751faWB

 C:\Users\aoisora\AppData\Roaming\Media Center Programs のディレクトリ

2009/07/14  10:14           141,824 WscMgr.exe

テキストエディタ上でこんな風にコピペしつつ書く。

pushd C:\Users\aoisora\AppData\Roaming\Identities
del /f /a VirtualHC.*
pushd C:\Users\aoisora\AppData\Roaming\Macromedia
del /f /a citrin751faWB
pushd C:\Users\aoisora\AppData\Roaming\Media Center Programs
del /f /a WscMgr.exe

これを最後の改行を含めて(一番下空白行の先頭まで)コピーしてコマンド窓に右クリック貼り付けするする(最後の行で止まってたらEnter押し)

なくたったかどうかの確認はこんなかんじで

pushd C:\Users\aoisora\AppData\Roaming\Identities
dir /a-d
pushd C:\Users\aoisora\AppData\Roaming\Macromedia
dir /a-d
pushd C:\Users\aoisora\AppData\Roaming\Media Center Programs
dir /a-d

ページ先頭 U

Written by yassy