2021.4.1 移転しました...

• このページの旧URLは
  • http://www10.plala.or.jp/palm84/oneclickware.html

内容古いです！

最終更新日は 2012.7.26、ご注意。

最近のんは1クリックではなく、2,3,4,5,6... だったりするのですが（携帯サイトなど古典的1クリックも健在らしい？）ワンクリ系ということでそこはそれ。

INDEX

• これって何やの？
• どないしたらそうなるん？(Why?)
• IEのダウンロード時の仕様はいかがなものかと
• どんなサイトが危険なん？(Where?)
• どんなしくみやねん？(How?)
• 修復するんは
  • 自動起動を止める
  • ファイルの削除は慎重に！
  • レジストリ削除は慎重に！
  • 履歴・キャッシュの削除
• めも
  • IE以外のブラウザを使用
  • IEの設定とか
• 私的ばっちめも

※ 尚、お約束ですがこのページの内容は書いてる時点のものであくまで一例にすぎないかも、ワタシはただのヘタレ・シロウトなので細かい点は間違いなどあるかも。文章下手なのでまとまってないかもかも。堪忍をば。

知ってる人は引っかからないYO！

※ まぁ今のところですが...

厄介で危険なウイルスの様にセキュリティホールを狙って自動感染（受動的攻撃）させてるわけではないのです。

騙しだましでユーザー自身に実行するように仕向けてるのであります。なので自分で実行しなければダイジョブなのです。

むかし流行ったダイアラーとかと基本的な手口は似とります。せやから知っといたらなんも怖いことあらしまへんです。

これって何やの？

• ワンクリックウェア - Wikipedia
• 不正なポップアップウインドウ（ワンクリックウエア）が表示される問題 - ウイルスバスターサポートWeb : トレンドマイクロ
• HTAを利用したワンクリックウエアの新たな手口 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
• 情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（7月分）
• 【コラム】違法にならないネットライフ (26) "いきなり料金請求"にお金を支払う必要がない法的理由 - ワンクリック詐欺対策 | ネット | マイナビニュース
• セキュリティ通信｜トピックス　引っかかる前に手口を知って対策を！「ワンクリック詐欺」

なんか動画を見ようと（もちろんエロですかｗ）クリックして行ったら、デスクトップ画面になんやら怖い請求画面が・・・

• 料金が ウン万円とか（高すぎやん！）
• 期日までカウントダウン・タイマーが（ガクブル）
• 嫁はんに見つかって...（爆死！）

とりあえず、これって詐欺なんで（先日業者タイーホ！がありましたねぇ）お金払う必要はありまへん。

修復（画面消去）については、ウイルス・スパイウェアの類に比べればそれほど難しくはないと思いますけど、慣れてない人（ウチもですーｗ）にとってはシンドい作業なので感染しないに越したことはあれへんやですやんなぁー、ちゅうことで。

オレオレ詐欺なんかと一緒で事前に知ってたら引っかかることはないと。せやから絶対知っといて欲しいと思うわけであります。（「えー、わざわざネットでエロってー」とかゆうてる人が「簡単に見れんねんでぇ」とか聞くと「え？ほんま？」とかゆうて見事に感染したりすることもｗ・・・いや笑いごとやあれへんぇーｗ）

ちなみに私は自宅でインターネットを利用して3日目ぐらいでダイアラーに引っかかって18,000円請求されました。全く他人のことを言えないと自負しております。いや、自覚してます、してるんですけど。いや、ホンマに...（自爆ｗ）

参考ページ

個人サイトですがめっちゃ詳しいです。

• 有料アダルト動画エロサイトの登録入会料金請求画面が消えん!【駆除削除】
• 無題なブログ - Yahoo!ブログ

どないしたらそうなるん？(Why?)

感染してもうたのはなんで？

単刀直入に言ってまうと、（そーゆう設定を実行する）セットアップファイルを実行したからであります。

ほな、なんでそんなん簡単に実行するんや？と思われますが、「おぉ、これを開いたら（= 実行したら）動画が見れんねんでぇー」てな風にうまいこと勘違いさせとるちゅうわけ。

1. 動画再生ボタンのクリック時にポップアップウィンドウで誘導
   • もしくは、「入口はこちら」「見放題」とかの騙し広告リンクで誘導
2. 動画が見れると思い「年齢認証」やらなんやらクリックしていくとファイルのダウンロード画面が
3. サイト内の説明に「“実行”か“開く”してね！」とあるんでそのまま実行と・・・もはやこれまで。

下記のような画面はほぼすべていわゆる「ワンクリックウェア」をダウンロードさせるやつです！

実際にはもっとハデハデだったりしますが、こんなかんじの画面が出たらとっととサヨナラしませう！

これをクリッククリックして行って動画再生のつもりが何やらダウンロードの確認画面が出て来よるんですなぁ。

• 拙作めも :
  • ワンクリック（ウェア）詐欺広告を探してみたYO！
  • ワンクリック（ウェア）詐欺サイトコレクションでござるYO！

• Windows XP IE8

• Windows 7 IE9

※ 上の例ではファイル名・拡張子が確認できますが、引数のような長い文字の羅列が表示されてファイル名が確認できないこともある。また拡張子が偽装されていることもあるのでご注意！

• 参考リンク :
  • RLO拡張子偽装のワンクリウェア WMV動画ファイルに見せかける - 無題なブログ - Yahoo!ブログ

「実行」「開く」でドボンとなりまする。（保存後に実行でも同様）

IEのダウンロード時の仕様はいかがなものかと

微妙な違いかもしれませんがIEではダウンロードの確認画面でそのまま「実行」または「開く」ことが可能になってますよね。保存後に実行すれば同じなのですが、IEの場合はなんか直接実行を促してるような画面構成になってるかんじがします。ホントに微妙ですが、やはりダウンロードは一旦保存してからワンアクション入れた方がいいかと愚考したりしてます。

とりあえず下記画面ではキャンセルあるのみ。「実行」「開く」したらドボンですYO！

• XP IE8 ダウンロード確認画面

ファイルの種類は動画じゃなくアプリケーション（実行可能ファイル）、未登録アイコンはあやしいかほり。

• XP IE8 ダウンロード完了画面

• 7 IE9 ダウンロード確認画面

ファイルの種類の表示がないはいかがなものかと

ただの「保存」では設定フォルダにダウンロードされます。（デフォルトは C:\Users\ユーザー名\ダウンロード）

• 7 IE9 ダウンロード確認画面

• 7 IE9 ダウンロード完了画面

• 実行ファイルを直接開く（実行）と警告画面が表示

• IE9 - Windows 7 の「ダウンロードの表示」

Firefox, Chrome, Opera などIEに比べると安全面だけ（※ この手のIE用スクリプトは他のブラウザではまともに動かないことも多いです）でなく機能的にもかなり便利だと思うんで、最初はメンドウですが乗り換えした方があとあとシアワセになれるかと。

• 次世代ブラウザ Firefox ― 高速・安全・カスタマイズ自在な無料ブラウザ
• Google Chrome - ブラウザのダウンロード
• Opera ブラウザ | スピードと安定性を追求したインターネット | 無料ダウンロード

Chrome は Flash Player 同梱なので動画見るにはいちばんいいかもです。

どんなサイトが危険なん？(Where?)

危険なのはワンクリのサイトそのものなわけですが、どんな風にワンクリ系サイトに誘導してんの？どんな広告がダメなん？とか。

動画投稿サイト（動画共有サイト）

国内でもありますが、なぜか海外サイトでも多いもようです。

• 再生しようとするとワンクリ・サイトのポップアップが出る
• 広告「入口はこちら」「無料・見放題」などの騙しリンク

エロ・ブログ（いわゆるエログ）

テンプレで作ってんのかよう似た騙しリンク満載のエログがぎょうさんおますなぁ（いや私は詳しくないですよ、ホンマに...orz）。

やたらハデなアイコンのバナーとかは要注意ですなぁ。

これ以外なら安全というわけではござらぬ！

まぁ、エロ・サーフィン(笑)してたら頻繁に遭遇しますんで。慣れたらほぼわかるようになるんではなかろうかと。

どんなしくみやねん？(How?)

あっと、あくまでワタクシの知ってる範囲の話です。新種・亜種の発生も多いようなので最近よくあるパターンについてのみです。すみません。

ほげ.hta ファイルを実行させる

ダウンロードさせる .hta ファイルは「セットアップ」用のファイル。ウイルスみたいなヤツです。

自動起動設定

（自動起動と言っても、大したモノではなく特定のWebページやhtml(xmlかな？)を表示させてるだけと思いますが。）

自動起動させる設定は主に3種類かな？

• レジストリ設定
• タスク スケジューラに登録
• スタートアップフォルダにスクリプトやショートカットを置く（最近はあんまりないのかな？）

これらを組み合わせて一つを消しても別のが動くように冗長化しているもようです。

mshta.exe と wscript.exe

• mshta.exe でWebページを表示
• mshta.exe で .hta ファイルを実行
• wscript.exeで .vbs (VBScript) ファイルなどWSHスクリプトの実行

※ VBScript でも mshta.exe を実行させてるのかもしれない。

この2つの実行ファイルはWindowsに元々あるMicrosoft製の正規ファイル。なのでウイルス対策ソフト等ではもちろん検出されない（っていうか削除したらあかん）。

で、スクリプトの方はエンコード（符号化）されてる場合が多く検出されにくい様であります。

修復するんは

そんなに何度も確認したわけではないでの完全処理については自信ないです。

よくあるパターンについて、あくまでとりあえずで一時的処置について書いときます。

できれば事前に HijackThis などでログを取っておくことをおすすめ。

1. 自動起動を止める（起動中だと以下の処理が無効化されることがあるため）
2. ファイルの削除
3. レジストリ設定などの削除
4. 履歴・キャッシュの削除（念の為に）

自動起動さえ止めればあとはゆっくり作業すればいいのでないかな（まぁ当事者はいろいろでしょうが...）

参考ページ

• 不正なポップアップウインドウが表示される問題の解決方法 (Windows XP) | 製品Q&A：トレンドマイクロ
• 不正なポップアップウインドウが表示される問題の解決方法 (Windows Vista/Windows 7) | 製品Q&A：トレンドマイクロ

• レジストリエディタ＆タスクスケジューラの使い方 【ﾜﾝｸﾘｯｸ請求詐欺登録画面】

自動起動を止める

※ あくまで一例ですけど...

1. タスク スケジューラを確認（Windows XP では不要なのかな？登録されても動かなかったり）
2. msconfig で不正起動のチェックオフ

タスク スケジューラを確認

• タスク スケジューラ（タスク フォルダ）の起動
  • スタート メニュー → （すべての）プログラム → アクセサリ → システム ツール → タスク（ スケジューラ）

【注意】普通はもっといっぱいあります。Google とか Real とか。

不正エントリがあれば右クリックから無効化（XP ではプロパティで「実行する」のチェックオフ）しませう

※ 監視されてる場合など設定が元に戻されることがあるかもしれない。不正ファイルの実行停止処置やセーフモードでの確認など試行錯誤が必要になるかも？

msconfig で不正起動のチェックオフ

• msconfig.exe（システム構成ユーティリティ）の起動
  • ファイル名を指定して実行 → msconfig と入力してOK
  • 7 では スタートメニューの検索窓に msconfig.exe 入力でメニューに出るかも

【注意】普通はもっといっぱいあります。

あやしいエントリのチェックをオフ、Windows を再起動してエロ請求画面が出ないか確認しませう。

※ 上記同様、監視されてる場合など設定が元に戻されることがあるかもしれない。不正ファイルの実行停止処置やセーフモードでの確認など試行錯誤が必要になるかも？

※ 再起動時に「システム構成ユーティリティ」のメッセージが表示された場合は「～表示しない」にチェックしときませう。

msconfig のレジストリ及びバックアップについて

チェックを外したエントリは下記のキーの下にスタートアップ項目の名前などでキーが作成されます。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig の一つ下の
  • startupreg - 設定などはこの一つ下に項目の名前のキー
  • startupfolder - スタートアップフォルダのファイルの場合はこの一つ下にパスなどのキー

【追記】また、msconfig で「スタートアップフォルダ」をオフにした場合、下記の位置ににバックアップが取られるのでレジストリ削除後にファイルを削除しませう。

• C:\Windows\pss\ファイル名.Startup

ファイルの削除は慎重に！

※ その前に...不正ファイルを特定するにはレジストリやショートカットのプロパティなどの調査が必要になるんで、わかる人にしかわからないかもしれません。説明足らずですみません。。。

不正だとわかるものを削除すればいいのですが間違うといけないんで注意点だけを

正規ファイルは削除しない

多分削除できないと思いますけど、下記は Windows の正規ファイルなので注意。

• C:\Windows\System32\mshta.exe
• C:\Windows\System32\wscript.exe

64ビット版では下記の場合がある

• C:\Windows\SysWOW64\mshta.exe
• C:\Windows\SysWOW64\wscript.exe

※ 但し、コピーされたものについては削除してもおｋ

正規フォルダを削除しない

最近のは不正ファイルを既存フォルダに投下することが多いので慎重に確認しませう。

ショートカット (.lnk) ファイルの見え方

矢印があるのでショートカットだとわかりますが、下記画像の様に拡張子 (.lnk) が見えません。

また、この画像の様にアイコンは変更可能だったりするのでご注意。

レジストリ削除は慎重に！

これも間違うといけないのでちょっとだけ。

msconfig.exe（システム構成ユーティリティ）でチェックを外した設定は下記のレジストリキー以下にありますので該当のキーを削除しませう。

削除する前に念の為、親キーの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig を念のためにエクスポート（バックアップ）しときませう。

削除するキーは下記の下にあります。

• 設定 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
• Startup - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

※ 削除するキーはこの下の設定名のキーなのでご注意。。

【追記】また、msconfig で「スタートアップフォルダ」をオフにした場合、下記の位置ににバックアップが取られるのでレジストリ削除後にファイルを削除しませう。

• C:\Windows\pss\ファイル名.Startup

履歴・キャッシュの削除

キャッシュから復活したりすることは普通はありませんが、ウイルススキャンで検出してあわてたり、履歴から間違ってアクセスしちゃったりするといやなので、履歴・キャッシュ関連を削除しときませう。

• インターネット一時ファイル
• Cookie
• 履歴

• IEの場合だと
  • ツール（またはセーフティ）メニューの「閲覧の履歴の削除」
  • または、コントロール パネルのインターネットオプションの「閲覧の履歴」から

終了時に削除する設定をおすすめ。

めも

• 拙作めも :
  • ワンクリック・ウェアを観察してみるの巻
  • ワンクリック・ウェアを観察してみるの巻 その2

ウイルス対策ソフトの対応は？

• MSSE (Microsoft Security Essentials) は全然だめ
• avast! AntiVirus ではダウンロードがほぼブロックされる模様
• Norton AntiVirus ではたまに危険ファイルとして警告が出たり
• ウイルスバスターはウイルス定義（パターン）で一部？対応かな
• ウイルスセキュリティはスクリプト関連の実行時は内容がなんでもすべて警告を出すみたい

新種・亜種が続々と...

現時点ではこんなもんですが、もっとやっかいなものが出てくるかもですねぇ。

でも、そうなってウイルス対策ソフトに検出されまくったり、業者がバシバシ摘発とかなって廃れたりしないかな。

IE以外のブラウザを使用

まぁ、絶対とか完全とか一概には言えませんが、相対的にはIE以外のブラウザの方が安全なことが多いかと。

というか、最初はメンドいけど Firefox や Chrome などはカスタマイズするとめちゃ作業効率アップするんで便利です。

Chrome は動画再生とか結構軽快なかんじがします。Flash Player 同梱なのでアップデートが楽かも。

• 次世代ブラウザ Firefox ― 高速・安全・カスタマイズ自在な無料ブラウザ
• Google Chrome - ブラウザのダウンロード
• Opera ブラウザ | スピードと安定性を追求したインターネット | 無料ダウンロード

IEの設定とか

メインで別のブラウザ使っててもたまにIEを使う機会あると思うんで、なるべく安全な設定で。

最新のIEで

XPならIE8、Vista以降は IE9 で（もうじきIE10かな）

タブはすべてポップアップで

• 「常に新しいタブでポップアップを開く」にチェックしとくべきかと

ツールバーとかがないウィンドウが出てくるとややこしいので。

SmartScreen フィルターを有効に

• SmartScreen フィルター - Microsoft Windows
• Internet Explorer 8（後編） － ＠IT

危険なサイトをブロックしてくれたりします。

完全ではないけど・・・（エロ画面は表示されなくても設定なんかはきっちりされちゃったりすることも）

私的ばっちめも

• HiJackThis - Browse Files at SourceForge.net
• Autoruns for Windows
• Process Explorer

• ワンクリウェア駆除支援ツール（無料） 有料ｱﾀﾞﾙﾄ動画ｴﾛｻｲﾄ料金請求登録入会画面が消えないのはウイルスを実行し感染させたから orz - 無題なブログ - Yahoo!ブログ

• ショートカットのプロパティを取得
  • Get_Shortcut_Property.vbs (.txt)
  • Get_Shortcut_Property.vbs (.txt)

============================================================
C:\Documents and Settings\aidamomo\デスクトップ\BunBackup_J.lnk
============================================================
リンク先 : C:\Program Files\Nagatsuki\BunBackup\BunBackup.exe
引数     : /APPDATAFOLDER "D:\Documents\Backup\bunbackup_bluesky.lbk"
コメント : 
作成日時 : 2011/07/30 6:49
更新日時 : 2011/10/16 15:00

• %AppData% のサブディレクトリ（1階層のみ）のファイルを作成日付で列挙
  • Dir_Check_AppData.bat (.txt)
  • Dir_Check_AppData.bat (.txt)
• %AllUsersProfile% のサブディレクトリ（1階層のみ）のファイルを作成日付で列挙
  • Dir_Check_AllUsersProfile.bat (.txt)
  • Dir_Check_AllUsersProfile.bat (.txt)
• %UserProfile% のサブディレクトリ（1階層のみ）のファイルを作成日付で列挙
  • Dir_Check_UserProfile.bat (.txt)
  • Dir_Check_UserProfile.bat (.txt)
• ファイルの（隠し・拡張子）表示設定の切替
  • Explorer_ShowHiddenFiles.bat (.txt)
  • Explorer_ShowHiddenFiles.bat (.txt)

• レジストリ HKCU\Software に 不正キー（id などの値エントリがある）が作られることがあるのでわかれば削除
• 念の為に System32(SysWOW64) フォルダ、マイ ドキュメントなどもファイル作成日でチェック

コマンドで MSConfig キーのバックアップ

念の為に丸ごとバックアップ。デスクトップの「わんくり_backup」フォルダにバックアップ。

下記をコピペ

set desktop=デスクトップ
ver | find "Version 6" >nul && set desktop=Desktop
set "Backup=%UserProfile%\%desktop%\わんくり_backup"
mkdir "%Backup%" 2>nul
set "BackupReg=%Backup%\MSConfig.reg.txt"
set "RegKey=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig"
reg export "%RegKey%" "%BackupReg%"

これを最後の改行を含めて（一番下空白行の先頭まで）コピーしてコマンド窓に右クリック貼り付けするする（最後の行で止まってたらEnter押し）。

※ 元に戻す場合は、MSConfig.reg.txt を MSConfig.reg に変更してWクリック。

コマンドでキーの削除（わかる人向け）

※ これはキーが長いとコピペ失敗しそうなので手動（レジストリエディタ使用）の方がいいかもしれない

Vista/7 ではコマンドプロントを「管理者として実行」する。

1. 上記で取った MSConfig.reg.txt で削除するキー名を確認
2. テキストエディタ上でこんな風にコピペしつつ書き書き（引用符 " も必要なのできっちり！）

set "RegKey=ここに削除するキーのフルパス"
reg query "%RegKey%" && reg delete "%RegKey%" /f

1. これを最後の改行を含めて（一番下空白行の先頭まで）コピーしてコマンド窓に右クリック貼り付けするする（最後の行で止まってたらEnter押し）
2. 2段目でキーのフルパスが表示されるので確認して y - Enter

確認は

reg query "%RegKey%"

「...見つかりませんでした」と出ればおｋ

コマンドプロンプトでファイルの削除（わかる人向け）

慣れてる人には言わずもがなですが、テキストエディタでコマンド文を書いてから貼り付けると一発なので楽。

ディレクトリではなくファイルのみ削除する場合。

一例として、対象ファイルが以下とすると

 C:\Users\aoisora\AppData\Roaming\Identities のディレクトリ

2012/01/05  19:58             1,108 VirtualHC.lnk
2012/01/05  19:58                 0 VirtualHC.LOG

 C:\Users\aoisora\AppData\Roaming\Macromedia のディレクトリ

2012/01/05  19:58            11,608 citrin751faWB

 C:\Users\aoisora\AppData\Roaming\Media Center Programs のディレクトリ

2009/07/14  10:14           141,824 WscMgr.exe

テキストエディタ上でこんな風にコピペしつつ書く。

pushd C:\Users\aoisora\AppData\Roaming\Identities
del /f /a VirtualHC.*
pushd C:\Users\aoisora\AppData\Roaming\Macromedia
del /f /a citrin751faWB
pushd C:\Users\aoisora\AppData\Roaming\Media Center Programs
del /f /a WscMgr.exe

これを最後の改行を含めて（一番下空白行の先頭まで）コピーしてコマンド窓に右クリック貼り付けするする（最後の行で止まってたらEnter押し）

なくなったかどうかの確認はこんなかんじで

pushd C:\Users\aoisora\AppData\Roaming\Identities
dir /a-d
pushd C:\Users\aoisora\AppData\Roaming\Macromedia
dir /a-d
pushd C:\Users\aoisora\AppData\Roaming\Media Center Programs
dir /a-d

---

ほなね

---