ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« デジカメデータを救出せよ! | トップページ | タウンページさんからお手紙着いた。 »

2006年2月27日 (月)

請求画面が消えません。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらはインターネット経由でお電話をいただいたお客さん。
20代前半?のお嬢さまでした。
このぐらいの年代になると、タウンページよりネット検索で、という人も多いんでしょうねぇ。

「変な請求画面が5分おきぐらいに出てくるようになってしまったんですけど、なんとかなりませんか?」

うーむむむ。
似たようなのは、

今日びのスパイウェア。
今日びのスパイウェア。その2
今日びのスパイウェア。その3
今日びのスパイウェア。その4

で退治したことがありましたが…。
こういうのだとやっかいです。
とにかく見に来てほしいとのことで、お伺いしました。

-----

お伺いして、パソコンの電源を入れてもらうと…。

うぶちゃんねる 請求画面

「ご請求書 有料アダルトサイトうぶちゃんねるにご入会ありがとうございます。お客様は料金が発生しております。当サイト利用規約にも記載されております通り、料金は90日間で定額の39,000円になります。(以下略)」

∑( ̄□ ̄; はぅあっ!!
いきなりコレかよっ!!

毎度おなじみの文面も強烈ながら、そのバックに写っている女の子のギョロ目が、こちらをにらんでいるかのようで、心理的なインパクトが強く、非常に気味が悪いです。
それに、たちの悪いことに、通常のウィンドウなら必ず備えている右上のペケ印の「閉じる」ボタンがありません。
とりあえず放っておくと消えますが、またしばらくすると出てきます。
その都度、このギョロ目です。不気味だし、鬱陶しいことこの上ない!!

いきなりコレが起動するということは、どこかの起動キーが存在するということです。
恐れることはありません。そのキーを捜せばいいだけなのですから。

まずはHijackThisで起動項目のチェックです。
…いましたいました。

O4 - HKLM\..\Run: [uvu-channel] C:\WINDOWS\system32\uvu-channel.bat

これですねぇ。
拡張子がBATですので、単なるバッチファイルです。
中身を見ると…。

START C:\windows\system32\uvu-channel.exe

と1行だけ。
STARTコマンドは、後で調べたところによると、「スタート」メニューの中の「ファイル名を指定して実行」に相当するコマンドなんだそうです。
なんか回りくどいことをしていますね。そのままEXEファイルを起動すればいいのに。
おそらくそうした方が何か都合がいいのでしょう。
そしてそのファイルはこんな感じ。

uvu-ch-files
(ファイルを持ち帰り検証したWindows2000のメンテナンスPCでの画面です)

うーむ、EXEファイルはWindowsMediaPlayerのアイコンのパクリです。
紛らわしい…。

この調子で行けば、起動用のレジストリ設定と、これらの実行用ファイル2つを外せば大丈夫でしょう。

・HijackThisで起動用の設定をFIX
・今実行されているuvu-channel.exeをタスクマネージャから止める
・ uvu-channel.exe と uvu-channel.bat を C:\windows\system32 から削除
・インターネットオプションから「インターネット一時ファイル」を削除

基本的にはコレでOKでしょう。
一応念のため、Ad-AwareSEとSpybotを走らせておきましょう。

Cookiesなどのファイルでいろいろ見つかりましたが、それ以外の実行ファイルなどは引っかかりませんでした。
実は、先の実行ファイル2つを残したままチェックをかけたのですが、引っかかりませんでした。
Ad-AwareSEとSpybotでは引っかかってくれないようです。
ここでも「ツールの過信は禁物」という部分が露呈した結果となりました。
とはいえ、HijackThisでFIXをかけてからは出なくなったので、おそらくこれで大丈夫でしょう。

様子見でしばらく起動したままにして、その間にいろいろお客さんに聞いてみました。

…いつからこうなりましたか?
「友達が来ていろいろ触っているうちに」
…じゃあその友達にやられたんでしょうねぇ(お客さんは見たところ普通のお嬢さんでしたから)。
「一応、知り合いに教わってAVGっていうのは入れたんですけど?」
…それはフリーソフトですね。それだけでは不充分かと思われますが…。
「買って1年ほどなので、一応買った店に電話で相談はしたんですけど『リカバリしてください』なんて言われて。リカバリしたらデータ消えちゃうんで困るから相談したのに」
…そうでしょうそうでしょう(--; ところでこれ、無線LAN内蔵みたいですけど?
「ええ、無線もそのうち使うかな~とか思って」
…今の状態だとルーターなしの直付けですから、けっこう危険ですよ。ずいぶん長くLANケーブルをはわせてあるようですし、せっかく無線LANが内蔵されてるんですから、ルーターを導入されては?
「ええ、まぁそのうち…」

ここ1年ほどの機種なので、WindowsXPは出荷時にすでにSP2適用済みです。
でもこういうのにはやられてしまいます。
ウイルスセキュリティ2006には、今回の uvu-channel みたいに勝手に起動項目を追加されても、それを検知する機能が備わっています。
一応お勧めはしておいたんですが、あまりお金をかけたくないご様子。

とりあえず今回はそこまでで引き上げました。
今回のトラブルのサンプルということで、例のファイル2つは採取して帰りました。
また無線LANを導入される際はぜひ呼んでください、ということで。

-----

戻ってから調べてみましたが、やはりあくどい手口のワンクリック詐欺同然のサイトのようです。

スパイウェア対策したのに、まだ表示されます!!何故? :OKWave コミュニティー

悪質ワンクリック詐欺サイトのスパイウェア - 【アダルトサイト被害対策の部屋】Wiki

さらに調べていくと、トレンドマイクロのサイトにこんな記述が。

TROJ_VB.AAK - 詳 細 :トレンドマイクロ ウイルスデータベース

不正プログラムは以下のような情報を収集し、特定のWebサイトに送信する機能を持っています。

  ・有効なLANカードの情報
  ・RAS接続の有無
  ・AOLへの接続の有無
  ・標準のメールアカウント
  ・Windowsのログオンパスワード
  ・コンピュータ名
  ・メールアドレス
  ・ユーザ名

不正プログラムは、収集した上記の情報を以下のWebサイトに送信します。

http://www.uvu-channel.<省略>com:81/regist

∑( ̄□ ̄; はうぁっ!!
めっちゃ極悪やなかとですか…。

ワンクリック詐欺どころの話じゃないっスよ!!
勘弁して欲しいっス…。

持ち帰ったファイルを実行したら(よい子は決してまねをしないでください!!)、IEが起動して、そのサイトが勝手に開いてましたが…どのタイミングでこれらの情報を送信しているんでしょう?
インストールしていたウイルスセキュリティ2006は、uvu-channel.exe のネットへの通信は検知しませんでしたが…。

請求書の画面も不気味ですが、いつのまにか「情報を送信されている」という方がよっぽど恐ろしいです。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2006年02月27日(月) ウィルス・スパイウェア関連, パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき |

« デジカメデータを救出せよ! | トップページ | タウンページさんからお手紙着いた。 »

ウィルス・スパイウェア関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/8935688/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: 請求画面が消えません。:

コメント

お邪魔します、
“請求書系”は予習しているだけで実際にはお目にかかったことがないので参考にさせていただきます。このあたりは、やられると他人に相談しにくいという面でもうまくできてますね、もし自分が素人でやられたらと思うとぞっとします。

投稿: pts. | 2006/03/04 22:20:05

標準のメールアカウント
  ・Windowsのログオンパスワード
  ・コンピュータ名
  ・メールアドレス

まじですか?
ガクガクブルブル
とくに、Windowsのログオンパスワード

目を疑いましたよ。

投稿: p | 2006/03/13 20:29:05

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« デジカメデータを救出せよ! | トップページ | タウンページさんからお手紙着いた。 »