2011/08/16

パソコンを起動するとアダルトサイトのご入会・お支払い画面がデスクトップに何回も出る。直す方法

悲しいかな、こんなこともあります。。。

パソコンを起動したらアダルトサイトのご入会・お支払いに関する画面がデスクトップに表示されていました

satesate-01

ご入会ありがとうございます! 
このたびは当サイトにご登録いただき誠にありがとうございます。
有料動画のご利用に伴いまして料金が発生しております。
ご登録の流れやお支払い方法、このお知らせ画面の削除方法など、
詳しい内容は右上の”確認ボタン”をクリックしてご確認ください。
※注意事項※●料金のお支払いは契約日より3日以内にお願いいたします。
●この画面はご入金後に右上の”確認ボタン”をクリックすれば削除できます。
   (もし削除ができない場合はサポートセンターまでお問い合わせ下さい)
●サポートセンターの電話番号・メールの問い合わせは右上の”確認ボタン”
   クリックしてご確認下さい。
●お問い合わせの際は画面左上の”ユーザーID”が必要となります。
●虚偽報告、恫喝・脅迫等の悪質な行為には対応を控えさせていただきます。
残念ながらウィルスではないので、アンチウィルスソフトのスキャンにはヒットしませんし、駆除してくれません。
これは典型的なワンクリック詐欺の手口で、アダルトサイトを家族の誰かが見たがゆえに発生します。
もしも、自分に心当たりがあり、パソコンを起動するたびにアダルトサイトのご入会・お支払い画面が出るようになってしまったのなら、一刻も早く何とかしなきゃですね!

厄介なことに、そんな早く何とかしなきゃならない状況なのにも関わらず

インターネットに繋がるIE(インターネットエクスプローラ)が立ち上がらなくなるのです

一瞬IEが起動して、その後直ぐに画面がなくなってしまいます。
そんな時は、別のブラウザや別のパソコンでインターネットを調べましょう。
Google Chrome - ブラウザのダウンロード


Windowsパソコンを起動したらアダルトサイトの対処方法

実際に、あなたに不利な情報はこの時点で流れていません(しいて言えばアダルトサイトを見ていたことぐらい)。
目的は、あなたがこれから先「確認」ボタンを押しお金を振り込んでくれるとワンクリック詐欺が成立するわけです。
なのであなたは何もアクションを起こさず、このパソコンを何とかすればよいのです。

Windowsパソコンを起動して直ぐにプログラムを実行する方法は3個しかありません。
  • サービスとして自動実行
  • スタートアップに登録(ショートカット配置)
  • レジストリのスタートアップに登録
この3つを調べたところ、今回はレジストリのスタートアップに登録されていました。
Windows 画面左下の「スタート」ー「ファイル名を指定して実行」をクリック
「msconfig」を入力しOKボタン
satesate-02
このコマンド「mshta」が犯人なのでチェックを外して、「OK」ボタンを押します
Windowsを再起動することにより、次回からパソコンを起動したらアダルトサイトのご入会・お支払いに関する画面が表示されなくなり
IEも起動するようになります。


以下からは、コンピュータ好きのための参考情報:

レジストリのスタートアップのパス

レジストリのスタートアップは、レジストリ(regedit)の
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にプログラムパスが記述されています。

なぜ、mahtaが犯人だと分かったか?

Windowsを起動して直後にこのプログラムが目に見えて動き出します。
目に見えて動き出し、またカウントダウンも始まるのでCPUを多少無し使用します。
Windowsのタスクマネージャを確認することによりCPUを時々消費する
C:\windows\system32\mshta.exe
が怪しいと気づきました。
コマンドラインは
"C:\WINDOWS\system32\mshta.exe" "C:\Documents and Settings\All Users\Application Data\utprc\*******.hta"
Windows XPの場合。
また********はパソコンを起動したらアダルトサイトのご入会・お支払いに関する画面の「ユーザーID」でした(意味はなさそうでしたが)

HTAファイルとは?

HTAファイルとは、HTML Applicationの略であり、Internet Explorer 5以降利用可能となった技術で、HTML言語などを利用してアプリケーションとほぼ同程度のプログラムファイルを作成する事が可能になっています。

HTAファイルのソースを覗いてみる

今回のmshtaの引数がHTAファイルになります
"C:\Documents and Settings\All Users\Application Data\utprc\*******.hta"
htmlなのでnotepad等で開いてソースを見ることが出来ます

※ 実際のソースを記述すると長くなるので画面ショットで簡単に説明します
hta-01
javascriptのunescapeを使用しています。
簡単にソースを覗けないように暗号化されているのです。
(でも、分かる人には単純に解読に一手間作業が増えただけで、なんの暗号にもなっていないわけですが ^^;)
hta-02
復号化(unescape)してjavascriptを解読すると、こんなソースが出てきます。
このソースが実はレジストリのスタートアップに登録したりするような少し危険なソースになっているわけです。
ちなみに、今回のアダルトサイトの大元は
http://v-informations.com/
のようです。
ドメイン名から、VALUE-DOMAIN,を使用していることが分かります。
もしも、警察沙汰になった場合は、この情報を提出すれば、ワンクリック詐欺の犯人が分かるようになっているわけです。

4 件のコメント:

  1. どうやって複合化しているのですか?
    色々ここから調べてみたのですがわかりませんでした。。。

    どうか教えて下さい。お願いします。

    返信削除
  2. 匿名さんにはコメント返信しないつもりでしたが
    説明足らずなところもあったかと思いますので、簡単に説明します。

    まず、ソースを見ることが出来たら、htmlファイルとして保存します。
    その後、その保存したファイルのソースを開くと
    javascriptでunescapeして実行している部分があります。
    そこにunescapeしたものをdocument.writeするのです。
    そしてhtmlファイルを実行すれば、復号化されたjavascriptのソースが見えます。
    (もう既に自動実行されているわけですから、実行を恐れずに^^)
    そんな感じです

    返信削除
  3. ryman様
    unescapeされている部分?は下記の

    var mdj0b6910a=unescape('IN%40a%5C…')

    と言う部分の事だと思うのですが、次の「そこにunescapeしたものをdocument.writeする」というのがちょっとわからないです。

    色々 javascript unescape 等で調べているのですが…。
    申し訳ないですがもう一度ご教授して下さいませんか?
    宜しくお願い申し上げます。

    返信削除
  4. ならば、次の行に
    document.write(mdj0b6910a);
    とすれば、複合化された変数の内容がわかるということです。

    どうでしょうか

    返信削除