« 先週の検索ワードランキング | トップページ | セキュリティ、何に気をつけてる? »

2011年1月22日 (土)

進化というか…、

本日のお客様、

20110122

毎度おなじみのワンクリックウエアですね。ただ、以前対応した時よりいくぶん削除しにくくなっていたりしますのでまた書いておきます。

確か、前回は『登録日時』に作成されたファイルを\system32フォルダで探したら実行ファイルが判明したのですが、今回は『日時』と書いてあるのに日付だけしか表示されていないです。ただ、問題の画像が表示されているときにタスクマネージャを確認すると『mshta.exe』という怪しいプロセスがありますので、停止すると画像の表示が消えました。犯人決定です。

ーで、問題の実行ファイルは確かに\system32フォルダにあるんですが、削除したりファイル名の変更ができないようになっています。ただ、この実行ファイルは悪さをする『.htaファイル』を起動する役割を持ったものらしいので、レジストリエディタを起動して『mshta.exe』を検索することにします。

すると、『HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run』に『c:\ProgramData\aking\2307Y281.hta』(aking以下はランダムみたいですね。)を起動するようなエントリーがありましたので、エントリーを削除して\akingとフォルダも丸ごと削除した後何度か再起動しながら問題のないことを確認して一旦終了です。

ただ、今回は実行ファイルの削除が出来ていないのでしばらく様子を見ながら使っていただいて、問題が出るようならリカバリをお勧めすることになりそうですね…。

以前は全くでたらめに作成されていたようにみえたウイルスやスパイウエアも、ここ何年かはちゃんとプログラムを作る勉強をしたんじゃないかと思わるような作り方をしているように見えることがあってそれはそれで少し悲しかったりしますね。まぁ、こちらも仕事なので同情したりはしませんが…。

~1月25日追記~
コメント欄やTwitterを見ていただくと分かりやすいと思いますが、今回の記事中にあって“怪しい”と書いている実行ファイルの『mshta.exe』はWindowsに元々あるファイルで削除する必要はないということですので本文中に書いておきます。間違って削除してしまった方がいらっしゃたらごめんなさい。ついでにエロい画像をもう一つ貼っておきます。

20110125

|

« 先週の検索ワードランキング | トップページ | セキュリティ、何に気をつけてる? »

ウイルス・スパイウエア」カテゴリの記事

ソフトウエアのトラブル」カテゴリの記事

コメント

拡張子.hta(HTML Application)を使ったスパイウェアは、随分昔から普通にあります。私が確認しただけでも、2005年頃から存在しています。HTMLファイルと構造が似ていますので、ソースを確認すれば起動してる元やリンク先など全部突き止められます。

MShta.exe自体は、M$の正規ファイルなので駆除したらあかんですけど。

以下にも細かな解説があります。

http://blog.trendmicro.co.jp/archives/2729

投稿: ごはん | 2011年1月22日 (土) 19時15分

ごはんさんコメントありがとうございます。
そうですね、たしか以前にもどなたかに削除したらダメだとお聞きしたような気がしたので無理に削除しないで正解でした。ありがとうございました。

投稿: pts. | 2011年1月23日 (日) 11時08分

”ついでに”に笑ってしまった^^;

投稿: yuki76y | 2011年1月28日 (金) 09時48分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/118959/50655711

この記事へのトラックバック一覧です: 進化というか…、:

« 先週の検索ワードランキング | トップページ | セキュリティ、何に気をつけてる? »