パソコン版で表示中です:ケータイ版で表示する
| 2012年8月1日よりはてなダイアリー(運営元)の仕様変更により、当ブログ記事下(コメント欄)に広告が表示されることになりました。この広告は当ブログの記事とは一切関係ありませんのでご了承ください。 ダウンロード違法化、リッピング違法化などにより、記事執筆時は合法な行為であっても、現在では違法となっている行為を記載した記事が存在する可能性があります。記事執筆時の日時を確認し、最新の法律を遵守するようにしてください。 |
2012年 08月 13日 (月曜日)
実際にウイルスに感染してみる。:偽アダルトサイトの典型的な例
前エントリでの「偽アダルトサイト」のウイルスに感染してみました。
なお、当方では、事前に準備した安全な隔離された環境で実行しているため、絶対に真似をなさらないようにお願いします。
(隔離された環境を作り出すソフトウェアにつきましては、スクリーンショットを見ていただければ分かる人は分かります(知識が中途半端な人の真似防止))
面倒なので画像は前のエントリから引っ張ります。
ウイルスに感染するとこうなります。画面右下に張り付いて動かせません。×を押してもしばらくすると再出没します。mshta.exeをタスクマネージャーから強制終了すると再起動するまでは収まります。
ほほう。Whoisからプロバイダ情報を取り出して表示するわけだな(ちなみにProxy経由で実行しています)。IPアドレス表示からここまで進化したか。でも古典的です。まだこの段階では個人は特定されていないぞ!(大まかな住所は特定されている場合がありますが、この場合の最小特定単位は「市町村」です。プロバイダーによってはさらに広域な場合があります。いずれにしても、これ以上詳細な住所はここでは特定できません)
ほう。早く払っとけば安くなる、と。騙されるか!
筆者はその後、この隔離環境のプロセスをすべて強制終了し、ファイルを削除しました。ですので、筆者のパソコンには一切被害が及んでいません(重要なデータが入っているディレクトリへのアクセスはブロックしています)。
危険ですので、間違ってもこのようなサイトに踏み込んではいけません。
追記:検証環境のレジストリが改竄されていることが発覚しました。
検証環境で実行したレジストリエディター。画像はクリックで拡大します。
\HKEY_USERS\current\Software\Microsoft\Windows\CurrentVersion\Run
に
Regwrite<ランダムな文字列>
SystemBoot<ランダムな文字列>
という2つのレジストリ値が追加されていました。
mshta.exe(htaプログラムを実行させるためのプログラム)を悪用し、リモートから請求画面を読み込んで表示していました。
もし修復する場合は(自己責任でお願いします。レジストリを下手に触るとパソコンが起動しなくなるなどの重大な障害を起こす場合があります。慎重に操作してください)、
1.Windowsキー+R→regedit
2.ユーザーアカウント制御が出た場合→「続行」「はい」
3.\HKEY_USERS\current\Software\Microsoft\Windows\CurrentVersion\Run までキー(フォルダー)を展開する。
4.「データ」欄を見て、「mshta.exe」で始まる項目を削除する。
5.再起動し、請求画面が消えていれば完了です。
請求画面が最前面に表示されてうまく操作できない場合は
1.Alt+Ctrl+Delete→タスク マネージャーの起動
2.まだ請求画面に被さる場合は、オプション→常に手前に表示
3.プロセス→「イメージ名」が「mshta.exe」のものを選択。
4.「プロセスの終了」→「プロセスの終了」
※関係ない(よくわからない)プロセスは終了させないでください。パソコンが不安定になる恐れがあります。
5.請求画面が消えれば完了です。上の手順でレジストリからデータを削除してください。
追記:場合によってはタスクスケジューラーまで改竄されることが発覚しました。当方の検証環境ではタスクスケジューラーはうまく動作せずエラーとなってしまいましたので検証はできませんでした。
Permalink | コメント(0) | トラックバック(0) | 01:08
- 17 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CGIQFjAB&url=http://d.hatena.ne.jp/http4799/20110721/1311252239&ei=i8knUP3QJ8-WmQWgx4GIAw&usg=AFQjCNHUDmXrQIO9xJcp3VMOsFP6_dIZWw&sig2=3ihGWTmmceBGhbdDPU0_Sw
- 11 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=3&ved=0CGMQFjAC&url=http://d.hatena.ne.jp/http4799/20120211/1328921890&ei=MwwoULSpAevTmAWVm4HgCg&usg=AFQjCNHVWKsBSkw1t8-HVekGwLsgxKdDKQ&sig2=dtd1vWWfDEuYq4k4g9ekBw
- 11 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CGAQFjAA&url=http://d.hatena.ne.jp/http4799/20110721/1311252239&ei=iU8oUOjhLY6WmQXZ64DADg&usg=AFQjCNHUDmXrQIO9xJcp3VMOsFP6_dIZWw
- 7 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&ved=0CGYQFjAE&url=http://d.hatena.ne.jp/http4799/20110721/1311252239&ei=kRsoUPuUJo6KmQWjo4DAAg&usg=AFQjCNHUDmXrQIO9xJcp3VMOsFP6_dIZWw&sig2=MxrIiuVPro10hZ-zhW1Axg
- 6 http://d.hatena.ne.jp/hatenadiary/20120801/1343787270
- 6 http://pipes.yahoo.com/pipes/pipe.info?_id=0dc4a46eaacba8fcd7895159a0dd8717
- 6 http://pipes.yahoo.com/pipes/pipe.info?_id=f812e233f2f83cb835e4383e841c2b9c
- 6 http://www.google.co.jp/url?sa=t&rct=j&q=アダルト&source=blogsearch&cd=13&ved=0CHQQmAEwDA&url=http://d.hatena.ne.jp/http4799/20120813/1344787735&ei=JVQoUNzECOrnmAXHxICwAg&usg=AFQjCNEWDPXkpOKr0ktMOw3-eV6_d4w50g
- 5 http://d.hatena.ne.jp/keyword/スクリーンショット
- 5 http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=0CFkQFjAC&url=http://d.hatena.ne.jp/http4799/20110219/1298052086&ei=K5EoUOPUDqjYigfSr4CIDA&usg=AFQjCNEKO-WkXKUpnwpeVozNAKxInkOfJw