アダルトサイトが表示されます、これってスパイウェアですか?

今回は泉南市のお客様で、『ウィルスか何かに感染していて困っている』とのこと・・・・

早速訪問してみました。

確認すると、確かにパソコンを起動するたびにアダルトサイトの支払いを督促する画面が表示されてます。( ̄Д ̄;;

こんなの・・・

アダルトサイト督促画面

あぁ・・・でもこれ・・・ウィルスではありませんねぇ(でもウィルスにも一件感染してましたが)。
よく言うワンクリック詐欺のサイトです。
まぁ原因が判ったのでサクッと治りましたが・・・
今回は時間があるので、そのプロセスをちょっとご説明しておきます。
結果から言えば、起動時に自動実行で督促画面をWindowsのプロセスを悪用し、特定の静的ホームページを表示させているだけです(まぁ・・・よくあるパターンとういかワンパターンっぽいです)。

なりゆき(感染?)は以下のような感じです。
画面上の再生ボタンをクリックすると・・・

ワンクリック詐欺の引き込み

ワンクリック詐欺の引き込みダイアログ

上記のプログラムがダウンロード保存・もしくは実行されるダイアログが出ます。
※ページ内では【実行】を選ぶように促していますが、今回はあえてダウンロード保存して中身の確認もしてみました。

そして、実行すると・・・以下のプログラムが発動します。

mshta.exeというWindowsのSystem32内のプロセスを悪用してパソコンの起動時にダイアログっぽい画面で特定の静的ホームページを表示させます、通常はダイアログっぽく表示されても画面右上の×【閉じる】ボタンが機能しますので、その画面を閉じることができますが、この場合はVBScriptにて記載されたプログラムで以下のように・・・

<HTA:APPLICATION
APPLICATIONNAME=”アダルトサイト督促画面プログラム”
ID=”***”
VERSION=”1.0″
SINGLEINSTANCE=”yes”
SHOWINTASKBAR=”no”
NAVIGABLE=”yes”
WINDOWSTATE=”normal”
BORDER=”none”
INNERBORDER=”no”
BORDERSTYLE=”normal”
CONTEXTMENU=”no”
SELECTION=”no”
SCROLL=”no”
SCROLLFLAT=”no”
CAPTION=”no”
ICON=””
SYSMENU=”no”
MAXIMIZEBUTTON=”no”
MINIMIZEBUTTON=”no”
/>

通常の操作の機能を制御(止める)するようにしています、さらに、ついでに言えば上記ID=””のところの引数で『支払期限まで何日ですよ~』とか『期限過ぎてますよ~』とかの特定の静的ホームページを切り替え表示しているものと思われます。

こんな画面が出てあわてて電話、メールなどで問い合わせてしまったりする方がいらっしゃるかと思いますが、逆に相手に自分のメールドレスなど個人情報を与えていることになります、相手はこちらが【どんな状態になっているか】、どころか【こちらがアクセスしたことも把握してない】状態ですので(たぶん)、絶対に連絡を取らない様にしましょう。

 

クレジットカードの情報なんて、もっての外です(超危険です)。

皆さん、気をつけましょうね。(^-人-^)

情報をお持ちの方のコメントをお願いします

*