【架空請求】 アダルト動画エロサイトの入会画像・料金請求・支払要求画面が消えない!! 【ﾜﾝｸﾘｯｸ詐欺】

色とりどり賑やかな請求画像ポップたち。。。 エロエロ星人と同じようにわざわざウイルスを実行し感染させてスクリーンショットを撮りましたが何か

◆ ウイルス感染経路は？
　支払う義務のない架空請求を行うワンクリック詐欺サイト。表面上は日本語で表記された大人のアダルトサイト・エロ動画サイトを装ってます。

　「未成年ではないか？」「２０歳以上か？」「会社・業務のパソコンではないか？」「利用規約に同意するか？」という感じの質問を”はい”or”いいえ”の形式で選択するシーンの後、最終的に動画ファイルを再生するとするボタン画像が出現。これをクリックすると、通常の動画再生では通常ありえない「実行」するかどうかを尋ねるブラウザのセキュリティ警告ダイアログが表示されるものの、エロエロ星人はとにかく早くエッチな映像を見たくて興奮してるのか”完全無視”して実行してしまう。実際には、これがトロイの木馬型ウイルス／広告的アドウェア（×スパイウェア）をわざわざ自ら手動で起動させてWindowsパソコンに感染させてしまう瞬間となる。

ウイルスを自らの意思で実行してしまうエロエロ星人が後を絶たない... 自業自得という言葉がピッタリである − 【特集】 ウイルス感染直前画像

• 押ボタン症候群

◆ ウイルス感染後の症状は？
　仮に警告を無視してウイルスを実行してしまうと、動画プレーヤー（Windows Media Player）やブラウザが起動するとともに、入会登録が完了したので利用料金を支払うよう促す画像ポップがデスクトップ画面の中央や脇にデカデカと貼りついて消せなくなる。ポップアップ画像上には×ボタンと思しき項目があるもダミーなので時間が少し経ったら表示が復活する。ウイルスによりパソコンの設定が改ざんされてるため再起動しても卑猥な画像が強制的に表示され続ける。

• 画像ポップで、会員登録入会の完了通知や高額な有料料金支払い請求の通知
  → 焦らせる目的で料金支払い期日とする時間経過がカウントダウンするような動く演出が行なわれる場合も
  → キャンペーンとして○日以内なら通常より大幅に割り引いた金額にしてあげると騙る場合も
• ブラウザ上では、単なるIPアドレスの情報（プロバイダ名）、OS環境、ブラウザの種類を示して”個人情報”を取得保存した、料金○万円を支払わない場合は「自宅や勤務先へ請求に伺う」「支払い通知のハガキを送る」「債権回収業者に通知する」「裁判所へ訴訟を起こす」という感じの文句が表示されていて、一部のエロエロ星人は頭がパニックになって冷静な判断が不能な状態に陥る。

　エロサイトを見ていたという後ろめたさ、もし家族にこれが見つかりバレたら・・・、という状況で誰にも相談できず、一向に消えない料金請求画面ポップを前に心理的に追い込まれたエロエロ星人は法外な料金を支払ってしまい、その金はそのまま詐欺師の懐へ一直線！ 寝てる間もおマヌケなエロエロ星人たちがお金を振り込んできて、がっぽり金儲けウハウハ状態！ （ーー;

• エロエロ星人をネットで >>> ワンクリック詐欺 （ウイルス利用タイプ）
• 高齢者を電話で >>> 振り込め詐欺 （息子・孫・警察官・弁護士 名乗りタイプ）
  ⇒ 架空な請求であるにもかかわらず詐欺師にお金をあげてしまう哀れな人

◇ ゼッタイに電話やメールで問い合わせてはならない！
　ウイルス感染時点で個人情報は何も漏れてない。まんま詐欺なので契約成立そのものも無効である。問い合わせてしまった時点で始めて電話番号やメルアドが相手側に漏れるので、ウイルス感染以外の被害を招く恐れがある。問い合わせるなど詐欺に引っかかりやすいバカな人間だとわざわざ教えに行くようなものであり、詐欺師に言いくるめられ更なる個人情報を漏らしてしまうエロエロ星人がいるかもしれない。詐欺に引っかけるのに都合が良いアホ人間としてカモリスト（名簿）に登録されることも考えられる。

◆ マニュアル駆除・削除 【自己責任】
　以下はHTMLアプリケーション（*.hta）を悪用した事例の駆除・削除・対処方法になります。Windowsのタスクマネージャー（Ctrl＋Alt＋Delキー）を起動して、プロセスに「mshta.exe」があることを確認してください。

　「mshta.exe」が画像ポップを表示してるプログラムなので、このプロセスをタスクマネージャーから直接終了させることで画像ポップは難なく消せます。「mshta.exe」自体はHTMLアプリケーションを処理するための正規プログラムでウイルスではありません。Windowsパソコンには最初から用意されているもので、ワンクリック詐欺として悪用されてる形です。

　ただ、このプロセス「mshta.exe」を終了させた後で、ウイルスにより不正に登録された下の１番、あるいは加えて２番の処理を解消しなければなりません。

1. パソコン起動時に表示される ⇒ Windowsのレジストリエディタで不正なレジストリデータを削除する
2. パソコン起動時に表示される / 少し経ったら復活する ⇒ Windowsのタスクスケジューラで不正なタスクを削除する

無料診断ツール： 有料アダルト動画エロサイトの登録入会料金請求画面が消えない.exe [101KB]

[１] 不正なレジストリ
　Windowsパソコン立ち上げ時に起動させるプログラムを登録できるレジスト部（Runキー）に不正なデータが登録されます。一般的に下のようなパターンがあるので、レジストリエディタで該当のパラメータが存在しないか調べて削除します。レジストリにはパソコンの動作に関わる重要な情報が含まれてるので慎重に作業してください。 （赤文字は特徴的なフレーズ）
＞ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

不正なレジストリのパターン		脚注
1	名前： (任意の文字列) 種類： REG_SZ データ： mshta.exe [ファイルパス]\●.hta 　または データ： C:\Windows\System32\mshta.exe [ファイルパス]\●.hta 　[ ※ mshta.exe は拡張子が省略され、単に mshta になってる場合あり ]	このパスにある「●.hta」ファイルをゴミ箱へ 捨てる作業も別に行なうとGood!
2	名前： (任意の文字列) 種類： REG_SZ データ： mshta.exe http://[URLアドレス] 　または データ： C:\Windows\System32\mshta.exe http://[URLアドレス] 　[ ※ mshta.exe は拡張子が省略され、単に mshta になってる場合あり ]	-
3	名前： (任意の文字列) 種類： REG_SZ データ： [ファイルパス]\●.vbs	このパスにある「●.vbs」ファイルをゴミ箱へ 捨てる作業を別に行なうとGood!

　パラメータの存在を確認できたものの、「●.hta」や「●.vbs」のファイルやフォルダがエクスプローラ上では見つからない場合は、隠しファイル・フォルダになってる可能性があるので、フォルダオプションの変更（Windows の隠しファイルや隠しフォルダーを表示する方法）と、「保護されたオペレーションシステム ファイルを表示しない（推奨）」を切り替えます。

[２] タスクスケジューラに不審なタスク （Windows Vista、Windows 7 のみ）
　Windowsパソコン立ち上げ時に特定のプログラムを起動させたり、一定間隔で特定のプログラムを起動させることができるタスクスケジューラが悪用される場合があるので、不審なタスクを削除（無効）する。基本的にWindows VistaとWindows 7で起こる感染挙動になりますが、悪用されるかどうかは実行し感染させてしまったワンクリウェアウイルスの種類に依存します。

◆ ウイルス対策ソフト・セキュリティソフトの対応状況は？
　日本固有の脅威なので、海外メーカーがほとんどのセキュリティ会社の対応はかなり鈍いのが実情。あと、請求画面を出す前にこの手のソフトに検知・駆除されてしまっては金儲けのチャンスを失ってしまうので、攻撃者側も検知されないよう定期的にウイルスファイルを差し替えたり、この手のソフトからも逃れるためサイト自体の引っ越しを繰り返すなどしてるようです。下のような検出名が知られてますが、セキュリティソフトは未来を完璧に予言するような特殊な能力を持たないので、反応するかどうかはもはや運とか神頼みの領域となります。

• Trend Micro ： HTML_HTAPORN , VBS_HTAPORN , MAL_HTAPORN（POSSIBLE_HTAPORN）
• Symantec ： Trojan.Phel , Adware.ReferAd
• Kaspersky ： Trojan.HTML.StartPage , Trojan-Downloader.VBS.WinLoc , Trojan-Downloader.HTA.Agent , Trojan-Ransom.HTA.Jablock

　一番大きいのが、怪しくもないWindowsの正規プログラム「mshta.exe」が悪用されてしまってるのが大きいです。広告的な画面が単に表示されてるだけでパソコンそのものに何の損害も起こってない状態なので、一般的なセキュリティソフトや無料スパイウェア駆除ソフト（Spybot-S&D、AD-Awareなど）ではまったくどうにもならないのが普通です。

[2011年10月 追記...]
　セキュリティ会社シマンテックは、ワンクリックウェアについてトロイの木馬ではなく広告的なソフトと位置づけてるとフォーラムで表明してます。あと、セキュリティ会社トレンドマイクロはこの脅威専門のサポートページを会員向けに用意してますが、感染してしまった後の対処方法ということで後手後手の対応になってるのを暗に認めてると言えます。

• 不正なポップアップウインドウが表示される問題の解決方法１
• 不正なポップアップウインドウが表示される問題の解決方法２

☆ アクセスキーワード統計情報
[アダルト動画サイト登録会員]（1.53%）, [ウイルス 入会ありがとう]（1.53%）, [AV動画 会員登録]（1.02%）, [アダルトサイト入会]（1.02%）, [エロ 動画 サイト 画面 消す]（1.02%）, [エロサイト]（1.02%）, [mahta ウィンドウズファイル]（0.51%）, [PC 請求 サイトプログラム 削除]（0.51%）, [”アダルト動画サイトにご登録ありがとうございます。” mshta]（0.51%）, [ エロサイトお金請求画像]（0.51%）, [ 有料サイト ポップの消し方]（0.51%）, [あだると動画の簡単な消し方]（0.51%）, [ご入会登録が完了しました]（0.51%）, [ご入会登録完了通知]（0.51%）, [アダルト デスクトップ ファイル削除]（0.51%）, [アダルト 会員手続き完了 2011 ７]（0.51%）, [アダルト 消えない]（0.51%）, [アダルト 間違い 画面 消えない]（0.51%）, [アダルト 初期画面 削除]（0.51%）, [アダルト 動画クリックしたら入会]（0.51%）, [アダルト 無料 入会 消去]（0.51%）, [アダルトの簡単な画面消去法]（0.51%）, [アダルトサイト 画像 登録]（0.51%）, [アダルトサイト 詐欺 個人情報を登録しました]（0.51%）, [アダルトサイト POP 消え得ない]（0.51%）, [アダルトサイト 不正請求 レジストリ]（0.51%）, [アダルトサイト 入会 表示 消えない]（0.51%）, [アダルトサイト 請求 PC]（0.51%）, [アダルトサイト 請求 レジストリ]（0.51%）, [アダルトサイト 請求画面 消えない]（0.51%）, [アダルトサイト 起動時 ポップ]（0.51%）, [アダルトサイトからの画像を消す]（0.51%）, [アダルトサイトご登録完了]（0.51%）, [アダルトサイトにご登録 PC起動すると]（0.51%）, [アダルトサイトに登録しました]（0.51%）, [アダルトサイトの料金画面が消えない]（0.51%）, [アダルトサイトの有料請求画面の消し方]（0.51%）, [アダルトサイトの登録画面がきえない]（0.51%）, [アダルトサイトをご利用頂き有難うございます]（0.51%）, [アダルトサイト会員の消し方]（0.51%）, [アダルトサイト入会 消す]（0.51%）, [アダルトサイト架空請求 ウイルス]（0.51%）, [アダルトサイト登録ありがとう 、レジストリ]（0.51%）, [アダルトサイト表示の削除]（0.51%）, [アダルトビデオ画面削除方法]（0.51%）, [アダルトビデオ：削除方法]（0.51%）, [アダルトワンクリック詐欺の対処]（0.51%）, [アダルト入会画面 消し方]（0.51%）, [アダルト動作サイトにご登録ありがとうございます]（0.51%）, [アダルト動画 同意 請求]（0.51%）, [アダルト動画 支払い]（0.51%）, [アダルト動画をクリックして請求]（0.51%）, [アダルト動画サイト 対処法]（0.51%）, [アダルト動画サイト 時間表示]（0.51%）, [アダルト動画サイト 感染]（0.51%）, [アダルト動画サイトにご登録ありがとうございます]（0.51%）, [アダルト動画サイトにご登録ありがとうございます 削除]（0.51%）, [アダルト動画サイト登録を消す]（0.51%）, [アダルト動画登録ありがとうございます]（0.51%）, [アダルト動画登録料に関するトラブル]（0.51%）, [アダルト動画請求画面を消すには]（0.51%）, [アダルト架空請求画面の消し方]（0.51%）, [アダルト画像 登録請求]（0.51%）, [アダルト画面 表示 悪質]（0.51%）, [アダルト画面がデスクトップから消えない]（0.51%）, [アダルト詐欺 削除]（0.51%）, [アダルト請求消す]（0.51%）, [ウィルス感染 不正請求される]（0.51%）, [ウイルス 画像消去]（0.51%）, [ウイルス感染 消しても消えない]（0.51%）, [ウェブ画面上での不当料金請求表示の削除方法]（0.51%）, [エロサイト 架空 消えない]（0.51%）, [エロサイト 入会]（0.51%）, [エロサイトの架空請求画面の消去方法]（0.51%）, [エロ動画 請求]（0.51%）, [エロ動画 請求]（0.51%）, [エロ動画違法請求]（0.51%）, [エロ画像の消し方]（0.51%）, [エロ画面 ウイルス 対処法]（0.51%）, [デスクトップ 有料会員]（0.51%）, [デスクトップ 請求 アダルト 削除]（0.51%）, [デスクトップから消えない 詐欺]（0.51%）, [パソコン 有料サイト]（0.51%）, [パソコンに張り付いたサイトの削除ビスタ]（0.51%）, [パソコンの画面が消えなくなったら]（0.51%）, [パソコン画像の消し方]（0.51%）, [ワンクリ 請求画面 駆除]（0.51%）, [ワンクリック請求]（0.51%）, [ワンクリ詐欺 ご入会ありがとう mshta]（0.51%）, [不正なレジストリ]（0.51%）, [不正の画像削除するには]（0.51%）, [不法に 有料サイト]（0.51%）, [優良サイト取消方法]（0.51%）, [入会登録が完了しました]（0.51%）, [削除したい 有料会員]（0.51%）, [動画の請求]（0.51%）, [動画サイト 請求されるとき]（0.51%）, [動画サイト 画面が消えない]（0.51%）, [動画サイトの請求]（0.51%）, [広告 消えない ワンクリック詐欺 無料]（0.51%）, [悪徳 アダルトサイト ウインドウ]（0.51%）, [教えて ワンクリック詐欺 サイトの消し方]（0.51%）, [最初の画面に表示するウイルス]（0.51%）, [有料アダルト パソコン退治]（0.51%）, [有料アダルトサイトにご登録ありがとうございました デスクトップ 消す]（0.51%）, [有料アダルトサイトの完全削除方法]（0.51%）, [有料アダルトサイトへのご登録が完了しました]（0.51%）, [有料アダルトサイトへの入会ありがとうございます]（0.51%）, [有料アダルトサイトへの登録完了]（0.51%）, [有料アダルトサイト画面 削除方法]（0.51%）, [有料アダルトサイト解除]（0.51%）, [有料アダルト削除方法]（0.51%）, [有料アダルト動画の解除方法]（0.51%）, [有料アダルト画面 削除方法]（0.51%）, [有料エロ動画サイトデスクトップ画面に]（0.51%）, [有料サイト 消えない]（0.51%）, [有料サイトから 削除の仕方]（0.51%）, [有料サイトから請求]（0.51%）, [有料サイトのウイルスの消し方]（0.51%）, [有料サイトの消し方]（0.51%）, [有料サイトの画面が消えない]（0.51%）, [有料サイト会員登録完了]（0.51%）, [有料サイト対処方]（0.51%）, [有料サイト画面消す]（0.51%）, [有料サイト登録画面の消去方法]（0.51%）, [有料会員登録 詐欺]（0.51%）, [有料会員登録 消す]（0.51%）, [有料会員登録手続き]（0.51%）, [有料動画サイト 詐欺]（0.51%）, [有料動画サイトへの手続きが完了しました]（0.51%）, [架空請求 画面 消し方]（0.51%）, [架空請求 表示 消えない]（0.51%）, [架空請求画面 写真]（0.51%）, [架空請求画面 携帯]（0.51%）, [無料のアダルトサイト ウイルス 海外サイト 消えない]（0.51%）, [無料動画の登録表示]（0.51%）, [画面に出てきた会員登録の画面の消し方]（0.51%）, [画面表示 消えない 消し方]（0.51%）, [登録ありがとうございます 消えない]（0.51%）, [請求 カウントダウン]（0.51%）, [起動時 エロサイト ウィンドウ]（0.51%）, [通知画面の表示 削除]（0.51%）, [ＰＣ起動時にアダルトサイト入会しましたと出るのですが消去し方]（0.51%）、・・・