ワンクリウェアについて 2
| それでは感染実験です。 あまりやりたくないんですけどね。 まぁ皆さんの参考になれば。 |
|---|
| さて、おもむろに、DLした movie.hta ファイルをクリックしてみることにしましょうか。 そうそう、画面キャプチャーを起動しておかないと。 |
| なんて言いましょうかね。。 ガッカリです。 こんなことになってしまいました。 そういえば、ソースネクストを使っていれば、感染しないんですね。忘れていました。(ぇ この機能は、かなり前から実装されていました。 仕方ないから、セキュリティを切って実験しないと・・・ イヤな予感はこれだったんですよ。 何がイヤかというと、セキュリティを切ったら本物のワームの餌食になるかも知れないじゃないですか。 ワンクリウェアに通信させなくちゃいけないから、LANケーブルを抜くわけにも行かないし。 しようがないなぁ・・・・ |
| ==ご注意== ソースネクストはお守りにはなりますけど、駆除できるわけではありません。 感染後に入れても無駄です。 一般に、セキュリティアプリの中では信頼性に欠けるといわれることが多いです。 ワンクリウェアに強いのは、システム監視機能の部分です。 |
| さて、それではやってみましょう。 ブラウザがDonutなのがなんですけど、たぶん、IEが立ち上がるのかなと思います。 Donutが立ち上がるとすれば、窓のサイズやら位置やらは無効ですねw おっとぉ・・・ 全ての機能を無効にしても、まだ保護が働いています。 困ったものですね(苦笑 |x・)・・・・どうしよう・・・ |
| 苦労の末、無事感染することができました。(ヤレヤレ・・・ まぁこんなのがゾロゾロと画面を占領したら気が滅入りますよね。 それでは経過報告しましょうか。 画面下のステータスバーには、IEが2つしか起動していないんですけど、SS撮るの忘れちゃいました(汗; 画面は3つ出ています。 他の2枚は普通に閉じられます。 |
一番前の画面が mshta.exe によって表示されているものです。 最前面には指定されていないので、後ろに隠すことはできますけど、ちょっと×をクリックする気にはなれません。 それでは様子を見てみましょう。 |
このページにフォーカスすれば、こんなアラートが表示されています。 前説したように、私は 『有料利用申し込み画面』 さえ見ていません。 当然、『料金』 などと言われる筋合いはありません。 |
それではタスクマネージャーを見てみましょう。 mshta.exe が走っています。 ここでこのプロセスを終了させれば、現れた 『閉じにくい窓』 も閉じます。 でも、ここでは直ちに CCleaner を起動しましょう。 |
ツールタブの 『スタートアップ』 を見てみると、HKCU〜RUN エントリーに 〜〜\mshta http://ferachio-tonikakusuki.net〜〜 が見えます。 これを停止すればいいんですけど、やっぱり削除しましょう。 これで再起動。 |
何にも出てきません。 これで駆除は完了しました。 |
| 簡単でしたね。 今回、私はワンクリウェアをDLしましたから、もちろんウェア本体がPCの中に残っています。 私にとっては研究材料なので、それでなければ困ります。 感染してしまった皆さんは、たぶん、直接実行していると思われますから、インターネット一時ファイルしか残っていません。 放っておけばそのうち消えます。 |
| こんな簡単なワンクリウェアだけではありません。 フォルダを作ってウェアを保存しておくものもありますから、いぬさんのページを参照して、適切に処置してください。 いずれにしても、.hta タイプのワンクリウェアは、自動起動を止めれば駆除したことになります。 ゴミ掃除までやれば完璧というわけです。 以上、ワンクリウェア感染>>駆除実験でした。 |
| ワンクリウェアには、他にも .exe タイプも残っています。 こちらは対応するアンチウィルスを探して駆除するのが早いでしょう。 もちろん、これもタスクマネージャーからプロセスを停止し、レジストリエントリを削除、本体のファイルを消せば駆除できます。 それで駆除できないものでも、セーフモードでレジストリを削除できるでしょう。 ただ、.exe の場合は、レジストリキーや本体ファイルを探すのに少し苦労します。 .hta タイプではその苦労がありません。 単純に mshta.exe を目標にするだけで探せますから。 |
前へ Homeへ