• ウイルス感染原因: 感染者自身の意思でもってウイルスファイルの手動実行

  • ウイルス感染場所: アダルト動画エロサイトを装ったワンクリック請求詐欺サイト

  • ウイルスファイル: 拡張子が ~.hta ← どうみても動画ファイルではない

  • ウイルス感染被害(表):デスクトップ画面に入会登録料金請求ポップアップ画像の永続的な強制表示

  • ウイルス感染被害(裏): パソコンの設定がいろいろ改竄される

  • ウイルス感染対策: こういうソフトは別に何も言ってこないことが多いので、ウイルスファイルを実行せずキャンセルして防げる

『アダルト動画サイトにご登録ありがとうございました』


レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
 2 つのデータを確認しました [2012/01/** 11:23]

【キー2】
名前: Outpux19233_989100703
データ: "C:\windows\system32\mshta" h**p://3cd8.erofaita.info/s3/D~g6eTci2C0dAzZ5qUa-mw.htm
怪しさ ⇒ 20 ポイント
更新日時 ⇒ 確認不要(Webアドレス)

【キー1】
名前: nain(Extcute)
データ: "C:\Users\[ユーザー名]\AppData\Roaming\Macromedia\Extcute.lnk"
         └ C:\Users\[ユーザー名]\AppData\Roaming\Macromedia\appMgr2.exe //B //E:VBScript.Encode "C:\Users\[ユーザー名]\AppData\Roaming\Adobe\Facility827JkV.ssh"
怪しさ ⇒ 10 ポイント
更新日時 ⇒ .lnk ファイル要確認 2012/01/** 11:12:34

■ ■ ■ ■ ■ ■ ■ ■ ■ ■

OS環境: Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html

■ ■ ■ ■ ■ ■ ■ ■ ■ ■


  1. 診断結果の確認 【~が消えない.exe】

  2. ウイルスにより投下された.lnkファイルをゴミ箱へ (怪しさ判定10p) ※ 【ファイル検索、エクスプローラ】

  3. ウイルスにより登録されたレジストリのRunキーより該当項目2つを削除 (怪しさ判定10pと20p) 【レジストリエディタ

  4. パソコンを再起動して反省会

※ 投下された.lnkファイルの更新日時がウイルス実行日時と一致することになるので、上で言えば11時12分にウイルスを実行して感染させた形~ イメージ 1
☆ ファイアウォールのアウトバウンド側を制御して、許可してないプログラムの通信ができないようになってると感染処理が不完全に終わり画面表示は行われない