「エッチな動画」名目のウイルスをユーザー自らの意思でもって起動してしまう嘆かわしい行為が原因です。拡張子を見れば動画でも何でもないことが分かりますが、ひっかかってしまうユーザーの頭の中はエロいことで満たされてるのか気にも留めない模様。
ウイルスを手動で起動してしまった結果、「登録入会完了ありがとうございます。」的な料金支払い請求の広告ポップ画像がデスクトップ画面に貼りつく感染症状が現れます。いっこうに消えない表示を目の当たりにした人は架空請求にも関わらず詐欺師へ料金を振り込んでしまう流れなんでしょう。
現在、コンピュータウイルスは特に「金儲け」の手段(目的)として使われてるのは有名ですが、まさにこれがそうです。ただ、地球上のちっぽけな島国の超ローカルな脅威だけあってこういうソフトは何もしてくれない場合が多い現実が・・・。
レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
2 つのデータを確認しました [2011/12/** 20:58]
【キー2】
名前: nain(Extcute)
データ: "C:\Users\[ユーザー名]\AppData\Roaming\Hot Soup Processor\Extcute.lnk"
└ C:\Users\[ユーザー名]\AppData\Roaming\Windows Live Writer\appMgr2.exe //B //E:VBScript.Encode "C:\Users\[ユーザー名]\AppData\Roaming\Adobe\Facility827JkV.ssh"
怪しさ ⇒ 10 ポイント
更新日時 ⇒ .lnk ファイル要確認 2011/12/** 18:08:04
【キー1】
名前: JfvaVMserqalATA
データ: "C:\Users\[ユーザー名]\AppData\Roaming\Media Center Programs\serqalATA.lnk"
└ C:\Users\[ユーザー名]\AppData\Roaming\aicon\vvinMgr.exe //B //E:VBScript.Encode "C:\Users\[ユーザー名]\AppData\Roaming\Winamp\HyperVitpk"
怪しさ ⇒ 10 ポイント
更新日時 ⇒ .lnk ファイル要確認 2011/12/** 18:08:23
■ ■ ■ ■ ■ ■ ■ ■ ■ ■
OS環境: Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html
■ ■ ■ ■ ■ ■ ■ ■ ■ ■
- 診断結果の確認 【~が消えない.exe】
- ウイルスにより投下された該当の.lnkファイルの1つをゴミ箱へ 【エクスプローラ、ファイル検索】 ※1
- ウイルスにより登録されたレジストリRunキーの該当項目の2つを削除 【レジストリエディタ】 ※2
- パソコンを再起動して反省会
※1 不正なキー(怪しさ判定10p)が3つエントリーされてるのは、この記事を書くにあたって別々のワンクリック詐欺サイト2か所を故意に巡ってウイルス感染させたため(6時8分の2回)。
※2 コチラの環境では許可してないプログラムは通信できないようファイアウォールでブロックする関係で、↓の「mshta (URLアドレス)」のキー(怪しさ判定20p)も別に登録される挙動が起こらなかった。
【キー1】
名前: Bvot2848_746899117
データ: "C:\windows\system32\mshta" h**p://291a.dogmilk.info/s3q/QPihj1bZxBqItG7Z~kadNw.htm
怪しさ ⇒ 20 ポイント
更新日時 ⇒ 確認不要(Webアドレス)