ワンクリウェアについて
この記事は、2006/6に公開しました。
ワンクリウェアはこの時期のものから変わっています。
こちらで解説していますから、ご覧下さい。(2010/7/3)

「ワンクリウェア」というのは、最近見られる言葉ですよね?
2005年7月頃から使われ始めました。
新造語ですから、まだ定義がよく浸透していないんじゃないかと思います。


この悪意のあるプログラムを呼ぶのに、「ウィルス」じゃないし、「スパイウェア」でもない、どう呼べばいいだろうか? と考えた方がいらっしゃいます。

マルウェアに違いないけど、これじゃ広すぎてダメ。
自己増殖もしないし、システムにダメージを与えるわけでもなく、他のファイルを改ざん・削除するわけでもないからウィルスでもない。
メールアドレスをスパイしていくから、広義のスパイウェアには違いない。
勝手に某サイトにアクセスするけど、バックドアを付けるワケでもないし、トロイの木馬というのも少し違う。

日本独特で、他に類を見ないマルウェアで、ワンクリサイトで見られるから、「ワンクリウェア」と呼ぼう、ということで名前が付きました。
この呼び方を被害対策掲示板で使っているうちに、メディアが拾っていって一般化された呼び名です。

名付け親はabcdefさん(リンク切れ)で、今はレンタル掲示板さんの都合で閉鎖しましたけど、某掲示板で私も交えて話していたときに決まったものです。


abcdefさんの検出データを元に、最初は私のホームページで 【アンチウィルスアプリを利用した駆除方法】 を公開していましたけど、頻繁に更新する必要があるため、自サイトを立ち上げられました。
このページは実は2世代目で、最初はジオシティーで公開されていましたけど、相談者の便宜のため、掲示板(画像掲示板)を使いたいとおっしゃって今のページに移転されました。


セキュリティアプリがワンクリウェアを検出するのは、日本マーケットにおいてシェアを獲得するためと言えるでしょうけど、その検出については秘話があります。
アンチウィルスアプリがマルウェアを検出・駆除するためには、定義ファイルが必要です。
abcdefさんは、ワンクリウェアの検出状況を逐一検証されたと同時に、セキュリティハウスに検体を提供し続けてらっしゃいました。
検体の提出に対して対応していただけるセキュリティハウスには、今でも継続的に提供されています。
今では、abcdefさんに触発されて、多数の検体提供者がいらっしゃるようです。

ワンクリウェアの検出・駆除にアンチウィルスアプリを利用しようという発想は、実はabcdefさんのものなのです。
あるアンチウィルスアプリで駆除できることを知ったabcdefさんが主要なセキュリティハウスに検体を提供してみたところ、各社対応してくれましたから、これは大いに利用させてもらわなければ、ということで継続的に検体提供を続けていらっしゃいます。

今も、亜種に切り替わったその日のうちに報告されていますから、いくら亜種を作ってもまるでザルから水が漏れるようなものです。ワンクリウェアサイトの業者さんも、いい加減に諦めればいいのにと思います。


ワンクリウェアの挙動について

1:勝手に特定のWebサイトに(定期的に)アクセスする=請求画面を表示。
2:「請求書.txt」をデスクトップに貼り付ける。
3:勝手に規定のメールアドレスを特定のサーバーに送る(メールアドレスを盗む)。
4:Home=ブラウザ起動画面=を特定のページに変更する。
5:特定のサイトを勝手にブックマークに登録する。
6:上記の動作に必要なファイルを生成する。
6:上記の動作に必要なレジストリ情報を書き込む。

ワンクリウェアの拡張子は、通常 .exe ですけど、.sfw 等の場合があります。
また、ActivX、JavaScript、VisualBasic の場合も考えられます。
ActivX型のものは確認されています。アダルトサイトにアクセスしようとする場合は許可しない設定が望ましいです。

ワンクリウェアがシステムに深刻なダメージを与えることはありません。PCを壊してしまっては、請求画面を表示することができなくなるからです。ワンクリウェアの目的はお金を巻き上げることです。PCの破壊が目的でも、自己増殖が目的でもありません。

アンチウィルスアプリで駆除しても、ゴミが残る場合があります。abcdefさんのページでよくご確認ください。


今は、ワンクリウェアは普通にアンチウィルスアプリで駆除できるような環境になってきています。
そのため、ワンクリウェアを実行させようとしているワンクリサイト側は、検出逃れのために頻繁にワンクリウェアを亜種に変更してきています。
当然、亜種は定義ファイルが対応のものに更新されるまで駆除できません。
そのために、手作業で駆除できるような工夫をホームページ上でされています。
もっとも、あまりに頻繁に亜種を出したために、一部のセキュリティハウスは亜種も駆除できるようなエンジンを作ってしまいましたけど。


・・・・まるで、abcdefさんだけがこのマルウェアに取り組んでいらっしゃるみたいな書き方になってしまってますね^^;
もちろん、もっと以前から-=-Volk's Line-=-さん、【アダルトサイト被害対策の部屋】さんなど、ワンクリウェアの被害対策をされてきた方々がいらっしゃいます。
けど、「ワンクリウェア」というネーミングから説き起こした場合、上記のような経緯があるというわけです。


セキュリティハウスが積極的に定義ファイルを作ってくれています。
この記事を読まれた方で、ファイルの取り扱いに馴れていらっしゃる方は、是非検体の提供にご協力ください。

ワンクリウェアのファイルは間違っても開かないで、こちらにアップロードしていただければ主要なセキュリティアプリ各社に報告されます。

VIRUSTOTAL - Free Online Virus and Malware Scan
http://www.virustotal.com/en/indexf.html

検出結果を知りたい場合は、ワンクリウェアを添付してscan@virustotal.comにメールを送信すれば、そのアドレス宛に現在の検出結果、または、未検出の場合はそのメッセージが数分後には返信されます。
メールのタイトルは「SCAN」としてください。
なお、このページは英語ページです。

対応するかどうかはセキュリティハウスの判断に委ねられます。



Homeへ