12777578 ランダム
 HOME | DIARY | PROFILE 【フォローする】 【ログイン】

Jashi's ROOM

Jashi's ROOM

2016.04.01
XML
カテゴリ:修理
■ポップアップが出まくる・・・ので依頼が来る


近所の人から「変なメールが出る」ということで訪問した。

それはメールではなく、PCを起動するとポップアップ表示されるもので、「サイト登録されたので電話してくれ」というもの。これがうっとうしい。消してもしばらくすると表示され、そのイタチごっこ。



こういうものに電話してはならない。相手の思うつぼである。そしてお金を払う必要もない。案内ボタンもあるが押さない方がよい。・・・とはわかっていても恥ずかしい画像が出てくるために何とかしたいために電話したくなる心境を突いてくる。

案内ボタンを押してみたところ、動画サイトらしきところが出て、お金を某払えというものであった。でもそれでも払う必要がないのだ。が・・・・お金を払うべきか・・・心当たりがなくても・・・「この画面を消したい」という気持ちになるだろう。

■何が動いて悪さするのか・・・mshta.exeが


何が起動しているのか調べるために[crtl]+[alt]+[del]の3つのキーを同時に押すと出るメニューに現れるwindowsタスクマネージャーを起動、プロセスを確認すると「mshta.exe」が関与しているというのがわかってきた。



タスクマネージャーからmshts.exeを終了させようとしても止まらないのには閉口。

■どうすると表示されるようになるのか


依頼者へ後に再確認したところ、次の経緯でこのようなポップアップが出たことが確認できた。

 1)知らないメールが来た
 2)そのメールを開いたら、このようなポップアップが出るようになった

本人が何処かのサイトに行ったりしたわけではなく、メールを開いたときに仕組まれたスクリプトかによって変なポップアップが出るようにPCに細工されたことがわかった。

■mstma.exeとは


従来のこのようなものは独自のプロクラムにより行われていたが、今回のものはWindows標準搭載の「mshta.exe」を使ったもの、およびHTA(拡張子)形式のファイルである「mshta.exe」を介して使われるもので、それを悪用する新たな手法のようだ。

「mshta.exe」を削除するだけでは支障が出る場合もある。

■対策1・・・起動後に何度も実行されるように登録されていた


「スタート」 ボタン→[コントロール パネル →システムとメンテナンス→管理ツール で現れる「タスクスケジューラー」を開く。するとmshta.exeを使った「RegWrite」というタスクが登録されていた。このタスクは10分ごとに無期限で行われている。



このタスクを削除して再起動。ところがまた冒頭のポップアップが出てしまった。

失敗である。

■対策2・・・起動時に実行されるようになっていた


「スタート」ボタンを押して最下部に現れる「プログラムとファイルの検索」窓に「msconfig」と入力する。するとmsconfig.exeが現れるので選ぶ。すると「システム構成」が開く。その上部に現れる「スタートアップ」のタグを選択。

その中にはmshts.exeを使ったようなものは見つからない。



冒頭のポップアップの中にヒントがあった。このポップアップの中にあった電話番号をGoogleで検索。すると株式会社アサヒ(asahi)というではないか。

先ほどの中に選択して青い部分の「webasahi」というのは「アサヒ」に関するようにも思える。

この部分を横にスクロールしてみると、レジストリのHKCU\Software\Microsoft\Windows\CurrentVersion\Run、冒頭のHKCUはHKEY_CURRENT_USERを省略した表示なので、フルに示すとHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに「webasahi」があるのが怪しい。このコマンドはC:\ProgramData\asahi\PP86847Sにあると表示。



ここのチェックを外して起動時に動作しないようにした。

念のため、レジストリエディタ(regedit.exe)を起動してHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに「webasahi」も削除した。

(画像なし)

すると冒頭のポップアップが出てこないようになった。成功だ。

なお、C:\ProgramData\asahi\PP86847Sフォルダを調べたところ、冒頭のポップアップに含まれた画像もあり、HTAファイルもあった。これも削除した。



■ワンクリック詐欺と削除ツール


以上のように、偽装しているためしてわかりにくい。しかも独自のプログラムを使うのではなく、Windowsのコマンドを悪用しているためウイルス対策ソフトでは削除されない。

これらの請求がもっともらしく表示されても払う必要がない。さらに何とかしようと表示された電話番号に通話すれば相手の思うつぼである。通話したとしてもお金を請求されてポップアップを解除してくれないだろう。

このようなものをワンクリックウェア(厳密にはWindowsの機能を悪用)と呼ばれ、お金を不正に請求して払ってしまった場合はワンクリック詐欺とも呼ばれるようだ。

なお、後で知ったがこれらを自動的に削除してくれるフリーのソフトがあるようだ。「ワンクリックウェア駆除ツール」。実際に試したことがない確認はできていないが、詳しいことを知らなくてもうまく削除してくれるのかもしれない。
AX






Last updated  2016.04.01 23:22:49
コメント(0) | コメントを書く


PR

Recent Posts

Comments

楽天泰子@ おめでとうございます。 おめでとうございます。 参考になればと…
jashi@ Re[1]:ACテーブルタップとUSBチャージャーが合体!(06/23) 新米3109さんへ 返事が遅れて申し訳ありま…
新米3109@ Re:ACテーブルタップとUSBチャージャーが合体!(06/23) 最近パソコンも使うことが多いのでこれい…

Category

Archives

2022.08
2022.07
2022.06
2022.05
2022.04
2022.03
2022.02
2022.01
2021.12
2021.11

Calendar

Free Space

Keyword Search

▼キーワード検索

Headline News

Rakuten Card


© Rakuten Group, Inc.