もはやネタとしか思えない物を発見してしまったのですが質問にならないのでノートに書きます。<br>ワンクリック詐欺を削除するツールとして公開されている某ソフトの内容<br><b><font color="#ff0000">PC内からすべてのmshta.exeとインストールファイルを削除しています。</font></b><br>まあ、mshtaが無くても困る人はいないかもしれませんが、これはワンクリック詐欺によって追加された物を削除するのではなく、元から入っているシステムを壊してワンクリック詐欺のプログラムが動作しないようにしているだけです。<br>つまり、ワンクリック詐欺のものは何一つ削除してません。<br>なのに「<span style="line-height: 17px; ">ワンクリック詐欺ソフト除去ツール</span>」になっている・・・・。表示に偽りありですね。作者は本当に意味が分かっていてこれを公開しているのだろうか・・・。<br>しかも、最近の新手の手口に対応できません。<br>最近のワンクリック詐欺は、自分でmshta.exeを持ち込んで動作しますので。もちろんファイル名は変えていますのでこれじゃ全く発見されません。<br>せっかくノートを書き始めたので、ワンクリック詐欺の手口について書いておきます。<br><h2>何故感染するか</h2>感染した人は口を揃えて「何もしてないのにいきなり出て来た」とか言いますが、ほとんどの人が感染する手口は次の物です。<br><b><font color="#ff0000">動画の再生ボタン、あるいは動画と思われるものを押した後、何か聞かれたので「はい」を押した。</font></b><br>感染してここを見ている人がいたら、もう一度自分の行動を思い出してください。<br>「はい」を押したときに読んでませんでしたね。<br>よく見ると、「ｘｘｘvideo<b><font color="#ff0000">.hta</font></b>を実行しますか？」とか書いてありませんか？<br>覚えておいてください。<b><font color="#ff0000">拡張子htaは、動画ではありません。</font></b>htaのファイルは、<span>HTML Applicationつまり、実行ファイルです。</span><br>動画だと思って、実は実行ファイルを実行させられていたのです。<br><h2>動作の仕組み</h2>一番いい方法は、動作の仕組みを理解してしまうことです。<br>とりあえずこの辺を見て基本を押さえてくださいhttp://blog.trendmicro.co.jp/archives/2729<br>このように自動実行されるプログラムは<br>起動のトリガー→実行<br>という流れになります。まずは起動のトリガーを確認します。<br><h3>トリガー１　レジストリの自動実行</h3>Windowsにはレジストリという設定の集合ファイルがあります。この中に、起動時に実行するプログラムを記述する場所があるのでそこを確認します。<br>参考http://support.microsoft.com/kb/314866/ja<br>とりあえずワンクリック詐欺が使うのはHKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunHKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnceHKLMSoftware¥Microsoft¥Windows¥CurrentVersion¥RunHKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnceあたりです。<br>まずmsconfigで確認するのも手ですが、RunOnceは出てこないので見つけられません。目視でレジストリエディタで確認するのが一番です。<br>この中にmshtaを含んでいる実行があればまずそれが犯人です。キー名がInternet Explorerになっていることが多いですね。<br>しかし、このような単純パターンにも犯人には２パターンあります。<br><ol><li>mshta http://〜と、URLで記述されているもの</li><li>mshta c:¥Users¥xxx¥AppData¥Roaming¥xxx.hta と、ローカルパスになっているもの</li></ol><br>１の場合はレジストリを消して終了ですが、２の場合はPC内にファイルを入れられているのでこれを消してあげないと削除したとは言えません。ちゃんとファイルを確認し、削除してください。<br>最近はこんな単純な物が少ないのですが、それについては最後に説明します。<br><h3>トリガー２　タスク</h3>Windowsには「タスクスケジューラ」というシステムがあります。これは決められた時間に実行したいコマンドを登録しておくと実行してくれる便利な物ですが、これを悪用されている場合上記を行っただけでは終わりません。<br>しかも面倒なことにXPとVista以降で確認する場所が違います。<br>XP&nbsp;http://support.microsoft.com/kb/308569/ja<span>[タスク] を開くには、[スタート] ボタンをクリックして、[すべてのプログラム] をクリックし、[アクセサリ]、[システム ツール] を順にポイントして、[タスク] をクリックします。</span><span><br></span><span>Vista以降&nbsp;</span>http://windows.microsoft.com/ja-jp/windows-vista/schedule-a-task<span>[タスク スケジューラ] を開くには、[</span><span>スタート</span><span>] ボタン</span><span>、[</span><span>コントロール パネル</span><span>]、[</span><span>システムとメンテナンス</span><span>]、[</span><span>管理ツール</span><span>] の順にクリックし、[</span><span>タスク スケジューラ</span><span>] をダブルクリックします。</span><br>確認すれば、無期限に数分置きに実行されるものがあるかもしれません。実行内容を確認して削除しましょう。<br><p class="attention">注意</p><ul><li>タスクスケジューラに登録されていた場合、タイミングによっては１の削除を行っても復元されてしまう可能性があります。これを防ぐためには、タスクマネージャで該当プロセスをすべて終了させるのが効果的です。</li></ul><h3>トリガー３　スタートアップフォルダ</h3>盲点なのがスタートアップフォルダで、時々ここにショートカットが入っていて再起動したら戻っちゃった・・・なんてことになります。入ってないか、再起動前に確認しましょう。<br>ワンクリック詐欺の主なトリガーは上記です。他にあったら追記します。<br><h2>応用編　更に見つかりにくくワンクリック詐欺も変化します</h2>主な仕組みは以上ですが、近年は更に見つかりにくいように（特に削除ツールから）変化してます。<br><h3>パターン１ ｂａｔファイルにしてみた</h3>mshtaの文字列が入っていると見つかると思ったワンクリウェア開発者が使った多分最初の方法がこれです。<br>レジストリに直接書かず、バッチファイルを作って実行させます。<br>レジストリにはxxx.batと出ますので他のバッチファイルと区別が付けられず、駆除ツールが対応できないのを明らかに狙ってます。<br>更にその先のバッチファイルの中でも、変数に１文字づつ「m」「s」「h」「t」「a」を入れて連結して実行させるなど、涙ぐましい努力の跡が見られます。<br>が、手動で人が確認すれば一撃で終わります。<br><h3>パターン２ mshtaを持ち込んで（もしくはコピーかも）みた</h3>このパターンが一番面倒です。該当のファイルはすべてユーザフォルダ¥AppData¥Roaming内にある存在するフォルダの中にランダムに放り込まれます。<br>起動キーはレジストリですが、ここにはショートカットが表示されます。xxx.lnkのような感じ。でも、実行パスが「<span style="line-height: 17px; ">ユーザフォルダ¥AppData¥Roaming」内のフォルダなので明らかにおかしい。（ファイル１）</span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; ">で、そのショートカットを調べると、ずいぶん長い実行パスになりますが</span><span style="line-height: 17px; ">「</span><span style="line-height: 17px; ">ユーザフォルダ¥AppData¥Roaming」内の別フォルダの何か</span><span style="line-height: 17px; ">（ファイル２）</span><span style="line-height: 17px; ">を</span><span style="line-height: 17px; ">「</span><span style="line-height: 17px; ">ユーザフォルダ¥AppData¥Roaming」内の更に別フォルダの何か</span><span style="line-height: 17px; ">（ファイル３）</span><span style="line-height: 17px; ">を引数にして実行しています。ばらけているので駆除は面倒ですが、追跡すれば駆除できます。</span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; ">駆除ツールで判別するにはリンク先のファイルがmshtaと同じかハッシュ値計算して確認するとかしないとダメでしょうから、多分対応している駆除ツールは無いかと思います。</span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; ">今のところこれ以上の方法は見ていませんが、また何かあったら追記するかもしれません。</span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; "><br></span><span style="line-height: 17px; "><br></span><br>