ワンクリ詐欺画面を対処：

世はシルバーウィーク
弊社もカレンダーどおりに５連休。
今日はその二日目の日曜日。
朝、弊社を懇意にしてくださっているお客さんから緊急相談の電話が。

　

仕方ないので行ってみると、Vistaパソコンの画面にはこんな表示が。
　 　 　
あああーーーー

　

　お客さん「閉じてもまた出るし
　　　　　　ＰＣ再起動してもまた出るんだよ」

　

表示の右下には0.01秒単位で急激に減っていくカウントダウンが。
　 　

　

私にしてみりゃ馬鹿らしいが、お客さんはコレに完全に怖がっていた。
ワンクリ詐欺会社の手にまんまとはまっている。

　

タスクバーを見る。
　 　
実行プログラムのタイトルは　www . adult-juice . net

　

Googleで検索してみたら「アダルトジューシーズ」というワンクリックウェアをダウンロードさせる悪質サイトだった。

　
　

ウイルスバスター2009の動作ログを確認してみる。
特に検出情報はない。

　

うん。
事前に感染したトロイの木馬・ウィルス類がワンクリウェアをインストールした可能性は低いな。

　

一応状況を聞いてみる。

　

　お客さん「朝５時、嫁息子が寝ているのを見計らって
　　　　　　エロサイト見てたら、年齢確認が開いた。
　　　　　　そこで１８歳以上を選んだ」
　

　

あー、それがインストール実行ボタンだったんだな。

　

[CTRL]+[ALT]+[DEL]でタスクマネージャを呼び出す。
アプリケーションには何にもない。
プロセスを見る。

　

なんとなく眺める。
　 　
ふと目についたのは「E2IKA8oH.exe」というプロセス
なんとなく、コイツが犯人のような気がする。

　

ＰＣ再起動で料金請求画面が勝手にでるということは、何らか方法でスタートアップに登録されているはずだ。
スタートメニューのスタートアップグループをみるが、それらしいものはない。

　

Regeditでレジストリを確認。
まずスタートアップ登録の定番のレジストリを確認。
￥HKEY_LOCAL_MACHINE￥SOFTWARE￥Microsoft￥Windows￥CurrentVersion￥Run
うーん、怪しそうなものはないな。

　

「E2IKA8oH.exe」でキーワード検索をしてみた。
見つかった。
　 　
場所は
￥HKEY_CLASSES_ROOT￥Local Settings￥SOFTWARE￥Microsoft￥Windows￥Shell￥MuiCache
項目は、
Ｃ:￥ProgramData￥System Database￥E2IKA8oH.exe

　

なんとなく過去の経験が違和感を感じさせる。
なぜ自動起動するような実行プログラムが通常非表示のシステムフォルダ「ProgramData」に？
しかもなぜSystem Databaseなんていうサブフォルダ名の配下に、自動起動するような実行プログラムがあるんだ？

　

System Databaseなどというフォルダ名はあっても不思議はなさそうな名前だが、しかしおかしい！
あくまでも私の経験だが、Databaseなどと名のつくフォルダには文字通りデータベースファイルを格納するのが普通。ましてやWindows起動時に自動実行するようなプログラムを格納するとは思えないのだ。

　

まずフォルダの表示オプションを設定変更。
　全てのファイルとフォルダを表示する　：　選択
　登録されている拡張子は表示しない　：　Ｏｆｆ

　

フォルダＣ:￥ProgramData￥System Databaseを確認。
　 　
フォルダの作成日時は、今日の 05:11
中身のファイルは２つだけ。
　E2IKA8oH.bat
　E2IKA8oH.exe

E2IKA8oH.batをうっかり実行しないように注意しつつメモ帳で開く。
　 　
ファイルの作成日時といい、BATファイルの中身といいとことん怪しい。

　

もうコイツがワンクリウェアであることは間違いないであろう。

　

まずは、タスクマネージャのプロセスでE2IKA8oH.exeを停止させる。

　

お次はE2IKA8oH.exeの起動時実行を妨害してやることにする。
フォルダＣ:￥ProgramData￥System Databaseを、Ｃ：￥ProgramData￥aaaaaSystem Databaseとリネーム。
更にレジストリ￥HKEY_CLASSES_ROOT￥Local Settings￥SOFTWARE￥Microsoft￥Windows￥Shell￥MuiCache 内の、
Ｃ:￥ProgramData￥System Database￥E2IKA8oH.exeを削除

　

ＰＣを再起動してみる。
よし、ワンクリ詐欺画面は表示されなくなったぞ。

　

リネームしていたフォルダ￥aaaaaSystem Database を安心して削除。

　

お次は今後の対策だ。
ウイルスバスター2009を2010にバージョンアップする。
手順はメーカーの注意を守って2009をアンインストールしてから2010のインストールだ。
ウィルスバスター2010のインストールは無事成功。

　

次にエロサイトブロックだ。
ウィルスバスターは有害サイト規制の機能があるが、デフォルトではOffになっている。
これをOnにすれば、更に規制するサイトをカテゴリで指定できる。
以前はお客さんに頼まれて「アダルト」の規制はＯｆｆにしていた。

　

お客さんに規制するカテゴリを相談したところ、もう懲りたのでアダルトも規制Ｏｎとすることに。

　

とりあえずパソコンの対処は終わった。

　

あとは運用の注意だ。

　

・この手の罠はアダルトサイトだけではない。
　ゲームの攻略法サイトやアイドルサイトに見せかけた罠もある。
　ブログのコメントなど一見無難なものにも仕込まれている。
　その場合アダルトサイトを見なくても仕込まれることがある。
・事前の注意も必要だが、感染しても慌てないこと。
・隠ぺいしようとせず相談すること。
・携帯ワンギリ詐欺と同じくお金を支払うと余計犯罪者に付け込まれる。
・これらを、家族全員に注意を促すこと。
　（子供が親に知られたくなくてお金を振り込む例もある）

　

　

　

　

１時間ほどで全ては完了した。

　

お客さんにもいい勉強になったことだろう。
私もいい経験になった。

　

－－－－

　

ワンクリックウェアは頻繁にファイル名や実行常駐方法を変更してきます。
最低でも、総合セキュリティ対策ソフトは導入しましょう。

　

※ウイルス対策ソフトだけでは防げません！

　

また、君子危うきに近寄らず の心がけも大事です。

　 　

---

　 　＜本ブログ内関連記事一覧へのリンク＞