クリスマスはフィッシングサイトの対応 - 単にブラウザを閉じるだけで良い

親からネット閲覧をしていたら、変な警告が出たということで見て欲しいと言われた。昨日から起きていることらしい。初めのうちは何が起きたか説明を聞いてもサッパリ分からず、仕方が無いので 4 時間掛けて PC を取りあえずバックアップすることにした。クリスマスはこれで何も出来ず。 親が PC を操作していて、また警告表示が出たという。その現場を押さえて、色々と情報収集をしてみる。変な警告のページタイトルは Win Erx03 で URL は http://d1rnysi2im327b.cloudfront.net/prelander_secure/index.html?... だった。? 以下は CGI 変数が多数続く。多分今はアクセスできない。DNS 解決が出来なくなっている。 文面をページのソースからコピーすると次の様な感じだ。 システム警告 Windowsセキュリティシステムが破損しています Windows: 「ここには Windows バージョン文字列が入る」 ご注意: Windowsセキュリティによってシステムが壊れていることが検出されました。ファイルは: 「250 ～ 0 秒でダウンカウント」秒で削除されます 必須: 下の[更新]ボタンをクリックして、最新のソフトをインストールしてスキャンし、ファイルが保護されていることを確認してください. サーバーから流れてきたページのソースコードを読む限り、Windows の状態は何一つチェックしていないように見える。厳密に言えばブラウザが送ってくる情報を表示内容のために使っている。言語情報、Windows Version だ。ファイルは 250 秒経っても削除されない(表示は「0 秒で削除されます」で止まる)。 色々としようとすると、うるさい Beep 音が鳴る。次の様なスクリプトが仕込まれている。 audCenter = new(window.AudioContext || window.webkitAudioContext)();function sound() { volume = 0.56; duration = 354; type = "square"; // "sine", "sawtooth", "triangle" frequency = 951; var oscillator = audCenter.createOscillator(); var gainNode = audCenter.createGain(); oscillator.connect(gainNode); gainNode.connect(audCenter.destination); gainNode.gain.value = volume; oscillator.frequency.value = frequency; oscillator.type = type; oscillator.start(); setTimeout(  function() {   oscillator.stop();  },  duration );};var i = 1x = setInterval(function() { sound(); i++; if (i > 2) {  clearInterval(x); }}, );ちょっと変な箇所がある。まぁ、これでも鳴るのだろう。 URL にエンコードされている CGI 変数 lang を弄ると、あまり出来が良くない仕掛けだとすぐに分かる。表示に undefined が並ぶ。 英語圏の人たちは次の様な画面を見ているはずだ。 対応方法は単にブラウザを閉じれば良い。スクリプトを見ると Close や Click を妨害する様な仕掛けがある。閉じることが出来ない可能性が高い。この場合、[Ctrl] + [Alt] + [Del] キーを押す。画面に選択肢が出てくるので「タスクマネージャー」を選択する。タスクマネージャーが開いたらブラウザのプロセス、Internet Explorer や Edge などの 所を右クリックして「終了」する。 ページに埋め込まれた広告に強制 Jump のスクリプトでも仕込まれたか。