FC2ブログ

記事一覧

ワンクリックウェアの駆除方法

これも依頼が良くある、いわゆる「ワンクリック詐欺」と言われるワンクリウェア(スパイウェア)です。
一時期流行ったので認知されてきたと思っていたのですが、まだ知らない人も結構多いみたいですね。
こんな画面が出てきたら・・・それです。

ワンクリック_s

カウントダウンで焦らせ、連絡してくるのを待ってます・・・。
連絡さえしなければ大丈夫なんですが、ワンクリウェアの中にはPCに登録しているメールアドレスを盗み出したりするものも有るので、早急に処置した方が良いです。

--- ワンクリウェアの進入方法 ---
一般的なウィルスと違い、ワンクリウェアはPCからPCに感染してくるのではなく、ほとんどが利用者自身がPC内に取り込んでしまってます。 その多くは動画ファイルに見せかけてPCにダウンロードさせてしまうので、初心者などはまったく気が付かないうちに自分のPCに感染(インストール)させてしまってます。
ワンクリウェアをダウンロードしてしまうときは、必ず下のような警告が出るはずです。
冷静に確認するとちゃんと「.exe(実行形式)」と記載されているにものも関わらず.exeファイルを実行しようとしている"セキュリティ意識"の甘さですね。

exe_s.jpg

これは実行形式ファイル(プログラムファイル)をダウンロードする時に出るもので、普通の動画ファイルをダウンロードするときには出ない警告です。 つまり利用者に動画だと思わせておいて実はこれがワンクリウェアなのです。 この警告で「実行」をクリックすると、ワンクリウェアがインストールされてしまいます。「保存」をクリックして保存されたファイルを実行(ダブルクリック)しても同じです。
ワンクリウェアは拡張子(ファイル名の最後の部分)が「.exe」や「.hta」になってますので覚えておきましょう。
セキュリティーソフトを使用していればこの手のワンクリウェアはブロックしてくれます(100%ではない)ので、必ずセキュリティーソフトはインストールしておくのは常識です。

--- ワンクリウェアに感染してしまったら ---
すぐにワンクリウェアの駆除が必要です。 ワンクリウェアの種類によって対処方法が変わってきます。
WINDOWSのシステムの復元で削除できるウェアも多いので、試す価値はあります。
多少のPC知識が必要なので、わからない人は詳しい人やPCショップにお願いしましょう。
ワンクリウェアに感染したままPCを使い続けるとメールアドレスを抜き取るタイプ(今は存在しないかも?)だと多くの人に迷惑がかかります。

1.とりあえずネットを遮断する
2.セキュリティソフトでスキャンする
3.セーフモードで起動し、「システム構成ユーティリティ」を起動してスタートアップ項目を解除
4.ワンクリウェア駆除ツールで復旧

いずれも、ワンクリウェアの種類によって対応が違います。 完全に設定情報を元に戻すためにはレジストリを編集する必要があり、編集を誤るとPCが起動しなくなる危険があるため、PCに詳しい人かパソコンショップにお願いしましょう。

参考リンク
画像で見るワンクリック詐欺サイトの新たな手口
ワンクリウェア駆除ツール(test版)
ワンクリ詐欺サイト一覧・対策
HTAを利用したワンクリックウエアの新たな手口(トレンドマイクロ)
ワンクリック請求に関する相談急増!(IPA)
パソコン修理日誌
ワンクリックウェア駆除ツール(ソフト工房「空の牙」)

--- HTAを利用したワンクリウェア詐欺サイト ---
「HTA」とは、HTML Applicationの略であり、Internet Explorer 5以降利用可能となった技術で、HTML言語などを利用してPEアプリケーションとほぼ同程度のプログラムファイルを作成する事が可能になっています。
従来のワンクリックウェアは、EXE形式のものが多くを占めており、拡張子を判別出来るようなユーザであれば、実行直前で被害を防げる可能性も考えられます。
しかし、国内で確認された複数のワンクリック詐欺サイトでは、さらに巧妙な手口を利用し、その被害を着実に拡大させている事が確認されています。 それは、Windows標準搭載のプロセスである「mshta.exe」、およびHTA形式のファイルを悪用するという新たな手法が多くなりました。
mshta.exeはWindows標準搭載のプロセスで有るため、いったん進入を許してしまうと、手動やセキュリティーソフトでの検知が難しくなります。


--- 傾向と対策 ---
EXEファイルより警戒するユーザが少ないと思われるHTAファイルを使っている。
HTAの中で転送させるため、ダウンロードファイルのソースだけではレジストリを改変させる悪質なコードを確認出来ない。
転送先のHTMLには、暗号化されたVBScriptを使用し、人の目では動作が判別できないようにしている。
「mshta.exe」を利用し、警告を出す事無くスクリプトコードを実行させていることから、非常に悪質な新手法が既に確立されているようです。

抜本的な対策は、使用者自身にあります。
パソコンの画面上に「セキュリティの警告」ダイアログが表示された場合には、「開く」や「実行する」ボタンを安易にクリックしないよう注意しましょう。

・不審なサイトへはアクセスしないこと
・適切なペアレンタルコントロールを実施すること
・安易なクリックをやめ、警告文にしっかりと目を通すこと
・通常のウイルスケースと同じようにセキュリティ対策製品を最新の状態に保ち保護すること



Twitter_K2_カエル君s
関連記事

検索フォーム

Page Navigation