台湾や香港を襲うワンクリック詐欺請求サイト 中国語で.HTAウイルス配信
 
{{{ 2015年5月 更新 }}}
 
Windows のシステムに用意されてる mshta.exe を悪用し、架空の登録完了&料金請求ウィンドウがデスクトップ画面に張り付く .HTAファイル(ワンクリックウェア) を配信するアダルトサイトが存在します。
 
ワンクリック請求に関する相談急増!パソコン利用者にとっての対策は、まずは手口を知ることから! (IPA 情報処理推進機構)
http://www.ipa.go.jp/security/topics/alert20080909.html 
 
專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」 | 網路安全趨勢網路安全趨勢
http://blog.trendmicro.com.tw/?p=790
 
One-click fraudsters extend reach by learning Chinese (Symantec)
http://www.symantec.com/connect/blogs/one-click-fraudsters-extend-reach-learning-chinese
 
これは日本で独自に発展したローカルなインターネット上の脅威だけど、どうやら海外に輸出されてるみたいで、引っかかった 中華圏 のユーザーさんが悲鳴を上げてる投稿を複数確認しました。
 
被不良色情網站強行收費了,怎辨? - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1614030104265
 
求救!!!按到香港色情網頁怎麼辦 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1514041600739

Win7 桌面出現關不掉的色情小視窗 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/question/question?qid=1514112605665

相關知識 - Yahoo!奇摩知識+
https://tw.knowledge.yahoo.com/search/search_result?p=%22adult-man%22
https://tw.knowledge.yahoo.com/search/search_result?p=%22100-av%22

請大家教我怎樣辦 - U-CAR 討論區
http://forum.u-car.com.tw/thread.asp?forumid=270527

開了機後,不時重覆彈出同一個要比錢才能通知負責人刪除的廣告 - 電腦保安問題 - 香港討論區 Discuss.com.hk - 香討.香港 No.1
http://computer.discuss.com.hk/viewthread.php?tid=23917976
 
香港ユーザーの投稿も見つけたけど、とにかく台湾が圧倒的に多い?

ワンクリックウェア感染の流れ

手口は日本とまったく同じで、エッチな映像を再生するシーンで *.hta という拡張子を持つ不正なファイルを起動するよう促します。
 
これをユーザーが手動で実行してしまうと感染アウト~となる流れです。
 
This .hta file is NOT a porn movie!!! Don't open it!!!
 
イメージ 1
映像の再生に htaファイルの起動を促してくる中国語表記のサイト
  
イメージ 5
.hta application malware
  
不正なファイルを実行しちゃうと
 
イメージ 4
画面に張り付いて消せない架空料金請求ウィンドウ (2014年8月)
 
イメージ 3
画面に張り付いて消せない架空料金請求ウィンドウ (2015年5月)
201*-**-** **:**:**登錄手續完成。
顧客請於三天內付款定額費用港幣5,500元。付款詳情請細閱以下「信 息」。
顧客付款前同意已細閱並同意所有使用條款,
如沒有詳細閱讀本會條款而註冊成為本會會員的人士,
請致電:※ Support Number : +852 **** ****
海外會員電話聯絡方法:手機”+” 號輸入方法: 長按0字(費用約為7~10台幣/分鐘)
固網電話:請向所在地之電話公司查詢所需之字頭。
中国語はイマイチ分からんけど、メッセージ内に「港幣」「台幣」という表現が見えて、香港や台湾のユーザーに PayPal か 銀行振込 で料金を支払わせようと要求してます。

ワンクリックウェアが作成したレジストリ&ファイル

手元で感染させてみると
 
【1】 レジストリから指定されてるファイルパスのパラメータを確認して項目を削除
 
【2】 ファイルを手動でゴミ箱へポイッ! で駆除は完了します。
 
イメージ 2
ウィンドウ起動用のパラメータがレジストリに
 
《 registry 》
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Name -> [random]
Value -> mshta "C:\ProgramData\[random]\[RANDOM].hta"

《 files 》
C:\ProgramData\[random]\[RANDOM].hta 
C:\ProgramData\[random]\bg.jpg
 
竹北 極珖 電腦 維修 升級 組裝 : 關不掉的 100-av[.]com 噁心 裸露 胖女人 惡意 色情 廣告
http://kill.virus.tw/2015/04/100-avcom.html

関連ドメイン 103.24.70.236

中華圏ユーザーを狙って不正な.htaファイルを配信してる関連ドメイン!
【関連するドメイン】
http://www.100-av[.]com
http://hta.100-av[.]com
http://www.adult-man[.]com
http://www.h-mania[.]com
http://www.look-av[.]com
http://www.av-no1[.]com
http://www.ytube141[.]com
http://www.youtube141[.]com
http://www.hktw99[.]com
> www.virustotal.com/ja/ip-address/103.24.70.236/information/
関連するブログ記事