Windowsユーザーが罠にかかると、消しても消しても表示されるこういうヤツ:
駆除を頼まれたのでなんとかやっつけた。(Windowsってほんと難しい。みんなMacにすればいいのに。) 予想より手強かった上にネット上の情報もまとまっているものがなかなか見つからなかったので、一応記録しておくことにする。
手順はおおまかに次の通り。
- 現在動作しているタスクを殺す
- msconfig.exeでスタートアップの設定を消す
- タスク・スケジューラーの設定を消す
- regedit.exeでレジストリーの怪しいエントリーを検索して消す
- リブート
最初に、事の顛末を長々と書く。書きたいのだからしょうがない。駆除の実際の作業は最後にまとめておくので、一刻も早く駆除情報として参照したい方は
ダイレクトにそちらを読んでもらいたい。
被災状況
「変な脅迫的な請求画面が出て、消そうとすると登録完了したから8万5千円払えと表示される。画面を閉じても再起動しても、同じ請求画面が出る。なんとかならないか?」という助けを求める声に応じ、実際のパソコンを診てみることにした。
OSはWindows 7、立ち上げるといきなり右下に標準的なウィンドウの枠のない登録料請求の画面が表示される。右上の「閉じる」ボタンをクリックするとInternetExplorerが開き、「アダルトスカイ 登録完了」と表示される。そのときのURLが「***.itponagt.me/*******」というようなものだった。この画面を閉じようとすると「移動を許可するか」とかなんとか、いろいろわけわからんことが書いてあるアラートが表示される。許可するとブラウザーは閉じることができるが、しぱらくたつとまた最初の請求画面が表示される。
最初の分析
これは何か常駐型のマルウェアがスタートアップに仕組まれたに違いないと思って、タスク・マネージャーを起動して動作しているプログラムを調べたが不審なものがない。そもそもアンチウィルス・ソフトが入っているので、そいつがなんのアラートも出さなかったのも不思議な点。
そのうちに、また例の請求画面が立ち上がるとMS-IE、つまりInternetExplorerが起動されたことがタスク・マネージャーの画面をみててわかった。あの、標準ウィンドウの枠がないポップアップの正体はInternetExplorerだったのか!
最初、「マルウェアの実体はInternetExplorerで、不正請求画面を表示するファイルを読み込ませて立ち上げる設定がスタートアップに仕組まれている」と推理した。
ググって調査
Windows 7 のスタートアップがどう設定されるのがもよく知らないので、この推理のもと、グーグルで色々と調べてみた。すると、このマルウェアはWindowsの正規プログラムであるmshta.exeを悪用するタイプのものであること、読み込まれるのは.htaという拡張子のファイルであること、.htaはJScriptを含むウェブ・アプリケーションのファイルであることなどがわかった。
なるほど、Windowsの正規プログラムだからアンチウィルス・ソフトで検知できないわけか。
また、スタートアップの設定を見るにはmsconfig.exeを起動すればよいというのもわかった。
一方、このマルウェアへの対処方法として「感染前の復元ポイントに状態を戻す」ことを推奨する記述が多い。しかし、それだとマルウェアの正体を見ることなく、しかも復元ポイント以降、ある程度のデータの犠牲を覚悟しなくてはならない。その対処方法はいただけない!
ただし、正面からこのマルウェアに対峙する場合、レジストリーをいじることにはなりそうだ。
msconfig.exeでアタック
msconfig.exeを起動する。スタートアップのタブをクリックして内容をチェックすると、いた! mshta.exeにhttp://xxx.itponagt.me/****を読み込ませる設定がふたつ。まずは単純にこれを無効にして再起動してみる。すると、まだ請求画面が表示される。msconfig.exeで確認すると、消した設定が戻っている。戻っているというより、無効にした設定とは別に再度同じ設定が追加されている。msconfig.exeだけで駆除するのは無理だ。
レジストリーを調べてみる
さらにregedit.exeを起動してレジストリーの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run と
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run を覗いてみると........
いたいた! 例のmshta.exeの設定。
msconfig.exeで設定を無効にした上で、このレジストリーのエントリーを削除して再起動してみた。すると請求画面が表示されない!
やった、これで駆除完了。と思いきや、しばらくたつと請求画面がまたまた登場。で、msconfig.exeで確認すると... もとに戻ってる! レジストリーも... やっぱりまた消したはずのエントリーがある!
これはどうやらレジストリーに書き戻すプログラムが動いているらしい。
タスク・スケジューラーでアタック
またグーグルで調べてみると、タスク・スケジューラーに怪しいエントリーがあるかもしれないとのこと。かなり詳しいことが
トレンド・マイクロのブログに掲載されていた。早速コントロール・パネルの管理ツールからタスク・スケジューラーを起動する。怪しいのは... SystemBootとRegWriteというふたつ。10分毎にレジストリーにmshta.exeの設定を書き込んでいるらしい。
早速、ブログの記述に従ってこれらを削除。msconfig.exeでスタートアップを無効にし、レジストリーから 〜\Run の中の該当エントリーを削除して、再起動。今度は?..... まだ出る!さらに、タスク・スケジューラーにSystemBootとRegWriteが戻っている。なんと、トレンド・マイクロのブログの手順でもまだ駆除できない!
レジストリーを徹底調査
それでも何だかだんだんとわかってきた。設定を書き戻す仕組みはレジストリーのエントリーにあって、そのエントリーにはSystemBoot、Regwrite、mshta.exeが必ず記述されているに違いない。特に、SystemBootもRegWriteも引数にmshta.exeという文字列があるので、とにかくmshta.exeでレジストリーを検索して、怪しいエントリーを削除すればよさそうだ。
レジストリーに挑む
例によってMS-IEのタスクを殺し、msconfig.exeでmshta.exeのスタートアップを無効化。さらにタスク・スケジューラーでSystemBootとRegWriteをライブラリーから削除。
そしてregedit.exeで"SystemBoot"を検索すると
HKEY_LOCAL_MACHINE\Software\Microsoft\Msconfig\StartupregにSystemBootとRegWriteのエントリーを発見。これらを削除。さらに"mshta.exe"で検索すると、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run と
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runに加えて、他の数カ所にもmshta.exeにhttp://xxx.itponagt.me/****を読み込ませる設定を発見し、すべて削除。
ただし、引数にhttp://xxx.itponagt.me/****がないものは、もともとWindowsの正常な設定であると思われるので削除しないように気をつける。
さて、祈りながらリブート。...... よしっ、今度は出てこない。しばらくしても大丈夫。
ふー、駆除完了!
まず、ここに書くことはWindowsの骨組み、レジストリーをいじるので、ヘタすればWindowsが起動しなくなる。筆者は責任負えないので、そこはくれぐれも自己責任・要覚悟ということで。あと、筆者はWindows 7以外でこの手順が有効かどうかも知らない。たぶん、同じようなものだとは思う。
- 現在動作しているタスクを殺す
Windowsを起動して請求のポップアップが表示された時点で動作しているのはMS-IE、つまりInternetExplorer。ctrl-alt-delキーでタスク・マネージャーを立ち上げて、当該プログラムを強制終了する。とりあえず、ポップアップは消える。
- msconfig.exeでスタートアップの設定を消す
Windowsの起動時に請求のポップアップが表示されるのは、スタートアップにmshta.exeが設定されているから。この設定を無効化する。msconfig.exeを立ち上げて、スタートアップ・タブをクリックすると表示されるリストの中から、mshta.exeと記述されているもののチェックを外す。(mshta.exeには****.htaファイル、あるいはhttp://からはじまるURLが引数として渡されるようになっている。)
- タスク・スケジューラーの設定を消す
スタートアップの設定を消しても、しばらくすると請求ポップアップが再び現れ、消した設定が元通りになってしまうのは、タスク・スケジュールにSystemBoot、RegWriteが設定されており、一定時間毎にスタートアップやレジストリの設定を修復してしまうから。コントロール・パネルの管理ツールからタスク・スケジューラーを立ち上げ、SystemBoot、RegWriteのエントリーをライブラリーから削除する。
- regedit.exeでレジストリーの怪しいエントリーを検索して消す
タスク・スケジューラーのSystemBoot、RegWriteのエントリーを消しても、Windowsを再起動すると再び請求ポップアップが現れ、スタートアップもタスク・スケジュールも修復されてりまうのは、レジストリーにまだ設定が残っているから。なので、レジストリーの中を徹底的に潰す。regedit.exeを立ち上げ、まず"SystemBoot"で検索する。すると、HKEY_LOCAL_MACHINE\Software\Microsoft\Msconfig\StartupregにSystemBootとRegWriteのエントリーが見つかる。これらを削除。続いて"mshta.exe"で検索する。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runをはじめとして、〜\RunOnceなど、複数箇所に***.hta、あるいはURLを引数に持つmshta.exeの怪しいエントリーが引っかかる。これらを削除。ここで重要なこと。mshta.exeはWindowsの標準機能なので、「怪しくない」mshta.exe関連のエントリーも検索に引っかかる。怪しい引数を持たないものは削除してはいけない。怪しいか怪しくないかは、引数に使われている***.htaファイルやURLで判断できる。
- リブート
すべてのプログラムを終了させて、Windowsを再起動する。
最後の最後に、このマルウェアを埋め込んだ犯人であるファイルも削除しておく。ダウンロード・フォルダーを開いて、MovieID*****.htaというファイルがあれば、おそらくそいつが犯人だ。以後、間違って起動しないように、当該ファイルをゴミ箱に入れる。
以上で駆除完了。
このマルウェアは巧妙で、登場以来、進化を続けているらしい。なので、ここに記述した手順だけで駆除できない場合もあるかもしれない。しかし、mshta.exeを使っているということがわかれば、レジストリー内に仕掛けられた設定を追って潰してくのは同じではないかと思う。
まぁ、そもそもmshta.exeなんてマルウェア転用できるツールを、MS自らが提供していること自体に驚く。mshta.exeの悪用がさらに進化して、個人情報を持って行かれたりすることはないんだろうか?
このようなアンチウィルス・ソフトが役に立たないマルウェアを、一般のWindowsユーザーが駆除するのは難しい。家の共有パソコンや、会社のパソコンでこの罠に引っかかったら目も当てられない。請求の内容が内容だけに人に相談できず、脅迫に負けて自ら個人情報を明かした上に支払いをしてしまうかもしれない。
サギ野郎に支払いをしてしまうくらいなら、8千円強をトレンド・マイクロに支払って「
おまかせ!不正請求クリーンナップサービス」を受けるのが早そうだ。
もうひとつがこれ。「"CS4ServiceManager"を開くには」って言われても、もともと開くつもりはないっつーの。まぁ、CS4というのはAdobeのやつだなというのは察しがついたが、今まではこんなものがバックで自動で動いてたのか。もはやCreative Cloudの時代にCS4は2世代前のものなので、ぜひとも退治しておきたいと思うのだが、こいつどこにいるの?
