今回も
「入会ありがとうございます。 至急料金の振り込みを」
の、対処依頼を受けた際の事例を掲載します。
関連記事 2009.09.20 ワンクリ詐欺画面を対処
関連記事 2011.11.21 本日もワンクリ詐欺画面(ADULT DREAM)の対処依頼が
まずパソコンの概要ですが、下記の通りです。
・機種:日本法人の有名BTOメーカ製
・Windows Vista Home Edition SP2
・ウイルスバスター2012 クラウド使用
現象としては、12/15から、下記画面が表示されるようになったとのこと。
PC起動時に表示されますし、右上閉じるボタンをクリックしても、数分後に再度表示されます。
もう典型的な不安を煽る振込要求詐欺画面ですね。
ウイルスバスターのログを確認。
ペアレンタルコントロール設定によるカテゴリ指定のブロックはしておりませんが、危険サイトなどは、それなりにブロックはしてくれているようです。
今回のような振込詐欺画面表示プログラムは、それ自体はウィルス類ではなく、単に「特定画面を表示するだけ」なので、ウィルスとは判断されていないわけですね。
タスクマネージャを確認してみます。
こういってはなんですが、素直な名前ですね。
アプリケーション名非表示のような小細工はしていない模様です。
プロセスをみてみましょう。
経験から怪しいと感じたのはコレ。
「mshta.exe」自体は悪いものではないのですが、悪用されることが多いのです。
msconfigでスタートアップを確認。
この行が怪しいですね。
・「ProgramData」というフォルダを参照していること
・振込詐欺画面表示のユーザIDと同じ名前がみてとれます。
ざっと眺めた限りですが、相互補完型のバックアッププログラムはなさそうです。
では、問題のフォルダ「c:\ProgramData\utmvn」を確認してみましょうか。
注意しつつ、「c:\ProgramData\utmvn」フォルダを開いてみます。
いかにもなファイルが存在しますね。
bg.jpgを開いてみたら、まさに振込詐欺画面内の画像。
Y944HXYW.hta
これは、HTA(HTML Applications)で作られた簡易プログラムですね。
実行するのはまずいので、メモ帳で開いてみました。
解析は面倒くさいのでやめましたが、コレに間違いないですね。
再度実行中のサービスなども確認し、相互補完型のバックアッププログラムはないだろうとあたりをつけまして、駆除にかかります。
まずは、現在実行中の「mshta.exe」を停止。
数分待っても、振込画面再表示はありませんでした。
タスクマネージャをしばらく睨みつけていましたが、裏で復活している様子もなさそう。
よし、やはり相互補完型のバックアッププログラムはなさそうです。
スタートップに関わるレジストリ情報を削除。
この手の詐欺ソフトは、レジストリキー「 ~略~ \Windows\CurrentVersion\Run」以外も利用していることがあるので、キーワード検索を繰り返してつぶします。
そして、「c:\ProgramData\utmvn」フォルダを削除。
タスクマネージャをみても裏で復活している様子もなさそう。
パソコン再起動を数度してみましたが、詐欺画面の表示はされませんでした。
----
振込詐欺画面にひっかかるケースは半分は自業自得です。
いくらウイルスバスターなどの総合セキュリティ対策ソフトがあっても利用者に不注意があってはカバーしきれません。
罠がしかけられているページを自分から開き、「あなたは18歳異常ですか?」という質問に偽装された「不正ソフトインストール実行」の命令を利用者自らが行っているのですから。
今回のお客様は、実は2度目の被害。
さすがに懲りたようです。
今後の被害の可能性を減らす為、ウイルスバスター2012で、ペアレンタルコントロール設定で、アダルトジャンルをブロックするよう設定することになりました。
-- 追記 --
今回の件の参考となりそうなTrendmicro社のブログ記事がありましたので、リンクを掲載しておきます。
TrendLabs SECURITY BLOG:HTAを利用したワンクリックウエアの新たな手口
<本ブログ内関連記事一覧へのリンク>