ノートパソコン dynabook が 
5万円台から♪ アダルト動画という名目でウイルスを配信してる日本語表記のエロサイトが舞台。「~.hta」という拡張子のファイルを起動するよう促してきますが、どう見ても動画形式じゃないですね。 
・ 地獄一歩手前! アダルト動画ウイルス感染直前シーン (4クリック詐欺)
・ 地獄一歩手前! アダルト動画ウイルス感染直前シーン (4クリック詐欺)
実行せずキャンセルすれば問題は起こらんわけですが、なんとこれを実行しちゃう哀れな方がいるようで。PCの中にはさほど価値あるデータは入ってないのでしょうが、ウイルスなのに無防備な行動はとても危険かと。
◆ マイPCを犠牲にして感染させてみたら新種ワンクリウェアだった
・パターンA
レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
2 つのデータを確認しました [2012/01/** 12:56]
【キー2】
名前: SystemBootZS0YoswxmaA8hMZWSkfSGigobsfur4Lh
データ: C:\Users\[ユーザー名]\UserProfile\SystemBoot.lnk
└ C:\Users\[ユーザー名]\UserProfile\htmlapp.exe h**p://japanese-movie.info/reg2.php?cccid=ZS0YoswxmaA8hMZWSkfSGigobsfur4Lh&log=1
怪しさ ⇒ 0 ポイント
更新日時 ⇒ .lnk ファイル要確認 2012/01/** 12:55:48
【キー1】
名前: RegWriteZS0YoswxmaA8hMZWSkfSGigobsfur4Lh
データ: C:\Users\[ユーザー名]\SoftRecovery\datZS0YoswxmaA8hMZWSkfSGigobsfur4Lh.cmd
怪しさ ⇒ 0 ポイント
更新日時 ⇒ 2012/01/** 12:55:37
・バターンB
レジストリ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run に
1 つのデータを確認しました [2012/01/** 13:03]
【キー1】
名前: RegWriteZS0YoswxmaA8hMZWSkfSGigobsfur4Lh
データ: C:\Users\[ユーザー名]\SoftRecovery\datZS0YoswxmaA8hMZWSkfSGigobsfur4Lh.bat
怪しさ ⇒ 0 ポイント
更新日時 ⇒ 2012/01/** 13:03:14
■ ■ ■ ■ ■ ■ ■ ■ ■ ■
OS環境: Windows 7
有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe v111217
http://blogs.yahoo.co.jp/noooo_spam/59949792.html
■ ■ ■ ■ ■ ■ ■ ■ ■ ■
バターンBの対処:
- 診断結果の確認 【~が消えない.exe】
- [Windows Vista/7のみ] ウイルスにより登録された不正なタスクを削除 【タスクスケジューラ】 ※1
- ウイルスにより投下された.batファイルをゴミ箱へ 【ファイル検索、エクスプローラ】 ※2
- ウイルスにより登録されたレジストリRunキーから不正な項目を削除 【レジストリエディタ】 ※2
- スタートアップフォルダにあるショートカットファイル「RegWrite」をゴミ箱へ ※3
- パソコンを再起動して反省会
※1 ここには診断結果は書き出してないけれど、怪しさ10p判定の項目が2つあるはず
※2 ウイルス感染挙動が新種なので怪しさ判定が0p。↓で判断
・ 名前が無機質なランダム文字列
・ 投下場所「~ \SoftRecovery\(無機質なランダム文字列).bat」
・ .batファイルの更新日時はウイルス実行日時 (コチラは午後1時3分に感染させた)
※3 Windowsの[スタート]→[すべてのプログラム]→[スタートアップ]
※2 ウイルス感染挙動が新種なので怪しさ判定が0p。↓で判断
・ 名前が無機質なランダム文字列
・ 投下場所「~ \SoftRecovery\(無機質なランダム文字列).bat」
・ .batファイルの更新日時はウイルス実行日時 (コチラは午後1時3分に感染させた)
※3 Windowsの[スタート]→[すべてのプログラム]→[スタートアップ]
