ゾンビでいやなポップアップを殲滅してみよう!!

突然のメール

ある夜中のこと...疲れて帰宅し、しかししっかりとパソコンの電源を入れてメールのチェックを入れた俺様のもとへ一通のメールが到着した。

そのメールは、普段パソコンのメンテをやってあげている知人からのものだったが、こう書かれていた。

「怪しいサイトをのぞいていて、何だか分からないファイルをダブルクリックしたら画面にエッチなメッセージが表示されてしまい、いくら消しても時間が経つとまた表示されてしまう。再起動しても同様。何とかしてくれぃ!」

...思いっ切り何かこう、詐欺っぽいのに引っ掛かっているっぽいんですが...。

まずは現状把握

取り敢えずインターネットは使えるらしいので、リモートで接続してみた。

...デスクトップにばっちりと「有料アダルトサイト」のメッセージが表示されている。

これは良くあるワンクリック詐欺みたいなもんか?有料なんで代金を払えとしつこくメッセージを表示し、もし払ったとしてもそのままメッセージが消えないというやつ。

https://hkjunk0.com/wp-content/uploads/mshta01.jpg

ご丁寧に振込先のご案内まであるが、意味がない。

こういった類のプログラムというかマルウェアは、スタートメニューのスタートアップではなく直接レジストリの「Run」とかに記載がされているので、試しにレジストリエディタを起動し、 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] というキーをごそごそしてみると、ビンゴ。

“system_boot_e7523401fe7aa5a95d3a6eb96235ee6a”=”C:WINDOWSsystem32mshta “というコードが埋め込まれていた。

ここで、「http://it-communication.org/」というサイトをググってみると、マルウェアの総本山というか配布元っぽい。

ところで、ここで一体どういうプログラムが動作しているのかというと。「mshta.exe」というやつがそうらしい。

但し、このプログラムはいかがわしい出所のやつではなく、なんとマイクロソフト純正のプログラムだったりする。

とあるサイトによると、

  • 特定ウェブサイトからの添付ファイルが実行時にインストールされる広告ポップアップ関連のプロセス
  • 「mshta.exe」ファイルは、マイクロソフトのHTMLホスト関連のアプリで、広告ソースファイルがインストールされたフォルダのxxxxx.htaファイル(ランダム.htaファイルや広告サイトアドレス)をポップアップするためのアプリ
  • システムレジストリ[スタ―トアップ]に登録され、Windowsシステムの起動時に自動実行される

でもって、これまたとあるサイトによると、

  • ここで指定されている「mshta(mshta.exe)」とは、Windowsに標準搭載されている正規のシステムファイルであり、セキュリティーゾーンを無効にした状態で指定のサイトへアクセスさせることが出来る
  • Internet Explorer上では本来ブロックされるはずのVBScriptコードも、「mshta.exe」経由でアクセスさせることで警告なしに実行される
  • EXEファイルより警戒するユーザが少ないと思われるHTAファイルを使っている
  • HTAの中で転送させるため、ダウンロードファイルのソースだけではレジストリを改変させる悪質なコードを確認出来ない
  • 転送先のHTMLには、暗号化されたVBScriptを使用し、人の目では動作が判別できないようにしている
  • 「mshta.exe」を利用し、警告を出す事無くスクリプトコードを実行させている

...どうしてこういうやつを置いとくんだ>Microsoft...なんか商売するつもりだったんか?

実際の対策

ま、取り敢えずプログラムを殺してみることに。

Windowsのタスクマネージャを起動し、プロセス一覧を表示させ、イメージ名でプロセスをソートし、「mshta.exe」というプロセスを終了させる。

https://hkjunk0.com/wp-content/uploads/mshta02.jpg

「mshta.exe」というプロセスを選択し、「プロセスの終了」ボタンをクリックする。

一応警告が出るが、構わずプロセスを終了する。

https://hkjunk0.com/wp-content/uploads/mshta03.jpg

躊躇することなく終了させること。

最後に、先程[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] に登録されていた「mshta.exe」を含むレジストリキーを削除する。

あと、いわゆる「hta」ファイルがローカルのハードディスクに保存されている場合があるので(レジストリに記載されているhtaファイルへのリンクを参照)、しっかりと「hta」ファイルも削除しておく。

これで二度と怪しいメッセージは出てこないはず。

聞くところによると、官庁とか役所でこのワンクリック詐欺に引っ掛かるという輩が続出したらしい...日本は平和だな~(^^;)。

ということで、今回は何とかワンクリック詐欺を防止できたので良かったが、そもそもこんな怪しいプログラムを仕込むんじゃねぇ!!とMicrosoftを小一時間問い詰めたいと思った俺様でしたとさ。

あ、当然怪しいファイルを実行しないようにするのはユーザーの責任というかお約束ということで。

お店

次の記事

さらじゅ