自動更新の落とし穴。（ワンクリウェアの恐怖 またまたまた）

こちらのお客様は、もうかれこれ定番と化してきたワンクリ詐欺ウェア、「起動したらアダルトサイトの請求書が出る」です。

うーむ…毎度のことながら、「残り時間のカウントダウン」と「目にインパクトのある顔写真を使う」ことで心理的プレッシャーをかける手口ですね。
写真も文面も毎度毎度違うので、ずらり並べると壮観でしょうね…なんてのんきな事は言ってられません。

この手のは、基本的には起動項目を外せばいいだけのはずですが…一応調べてみましょう。
どんな凶悪な進化を遂げているか、わかったものではないですから。

-----

まずはいつもどおりHijackThisで起動項目のチェックです。
ここで怪しい項目が見つかることもかなり多いですから。

R3 - URLSearchHook: MyUrlSearchHook Class - {2ACECADE-0BC7-4C6F-95CF-A221CC161B52} - C:\PROGRA~1\JWord\Plugin2\jwdsrch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Yahoo!ツールバーフィッシング警告 - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\ypho.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Yahoo!ツールバーヘルパー - {EEBA90E6-2B14-413F-9BF8-61A8BDF92258} - C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll
O3 - Toolbar: Yahoo!ツールバー - {AEF44653-C059-42CB-A5B7-41C640DA4A67} - C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [jwdsrch] C:\Program Files\JWord\Plugin2\jwdsrch.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IME JPN 2007 Migration] C:\PROGRA~1\COMMON~1\MICROS~1\IME12\IMEJP\IMJPKLMG.EXE /Preload
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [www.he-collection.net] C:\WINDOWS\system32\Restore\www.he-collection.net.bat
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: JWord でサイト検索 - res://C:\PROGRA~1\JWord\Plugin2\jwdsrch.dll/300
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo!ツールバーに追加 - res://C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll/script_search.htm
O8 - Extra context menu item: Yahoo!検索で検索 - res://C:\Program Files\Yahoo!J\Toolbar\7_0_0_11\Modules\YahooToolBar.dll/script_yahoo.htm
O9 - Extra button: JWord プラグイン - {34D67ED2-C837-4627-838C-2264E347D291} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton&pver=2 (file missing)
O9 - Extra 'Tools' menuitem: JWord プラグインについて - {34D67ED2-C837-4627-838C-2264E347D291} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton&pver=2 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [JWDSearch] JWord プラグイン
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

はい、見つかりました。
O4 - HKLM\..\Run: [www.he-collection.net] C:\WINDOWS\system32\Restore\www.he-collection.net.bat
コイツですね。

起動しているバッチファイルを見てみると、どうやら今までと同じく、単純にワンクリウェア本体を起動する一行だけを記述してあるだけです。
しかし、system32のRestoreフォルダって…。

ここって、システム復元用のフォルダ？

「ああ、そういえば、システムの復元でこの日以前に戻してみたんですが、どーしたわけか直らなかったんです」

…うーむむむむ、システム復元のフォルダと同じ場所に置いてあるとそういうことがあるのかなぁ。
それとも、復元ポイントに影響しないような起動の仕方をしているとか…。
まぁとにかく、しつこいスパイウェアのように、起動項目を削除してもダメならちょっと考えましょう。

ということで、該当ファイル2つををゴミ箱に入れて、HijackThisで起動項目をFIXして再起動です。

…とりあえずは出なくなりました。
再度HijackThisでチェックしてみましたが、項目は復活していません。
該当フォルダもファイルは消えたままです。おそらく大丈夫でしょう。

でも、ちょっと気になるので、先ほどのファイル名でぐぐってみました。
すると…やっぱりありました。

ttp://www.he-collection.net 削除方法　：ワンクリウェア削除の説明

このサイトでは、ご親切なことにバッチファイルを作ってくれていますが、いきなりバッチファイルを実行して、かえって変なことになるのはいくらなんでもご勘弁、なので、バッチファイルをメモ帳で開いて確認。
…うーん、どうやら今回のワンクリウェアは、

HKEY_CURRENT_USER\Software\06
HKEY_CURRENT_USER\Software\Windows
HKEY_CURRENT_USER\Software\System

というレジストリエントリーを作るようです。

うーむむむ、確かに、Softwareの下にWindowsとかSystemとか、不自然ですよね。
普通はSoftwareより上の階層か同階層でしょうから。
でも、この名前は、ちょっといじるのを躊躇しますよね。
チェックしてみると、「HKEY_CURRENT_USER\Software\Windows」はなかったものの…

∑（￣□￣；

HKEY_CURRENT_USER\Software\System\Windows\MoviePlayer

なんかでたらめなレジストリエントリーがあります…そしてその値（この画像では修正済み）には、最初の請求画面にあった「ユーザーID」と「入会日時」と完全に一致したものが！

本体は復活してませんし、もう起動はしていないので、この程度のレジストリは放置していても大きな問題はないでしょうけど、確実に不要なので、削除しておきましょう。

この情報を公開している先ほどのサイトは、その性質上、トラックバックスパムがものすごいのでしょう、トラックバックもコメントも受け付けていません。
残念ながらトラックバックは送れませんね…。

で、ふと気がついたら、ウイルス対策として、NortonInternetSecurity2006が動いている。

2006だから、よくある期限切れか？と思いましたが…。

「こないだ更新したばかりですよ」

うーん、確かに「正しく機能しています」って出てますからねぇ。
でも、2006では、この手のワンクリウェア対策ができていないんじゃないでしょうか？
あえて聞きませんでしたが、本当に機能しているはずなら、それなりの警告が出てしかるべきはずですが、お客様が何も言わないところを見ると、2006では古くてスルーパスだったのかも…。

「え？ちゃんとお金払って契約更新してるのに、最新版になってないんですか？？？自動更新じゃないんですか？」

…いや、「ウイルス定義ファイル」自体は、LiveUpdateで最新版に自動更新されます。
しかし、検出エンジンは、2006とか2009とかのバージョンによって違うものです。
数字が大きいほど新しいものになっていて、それは最新版にインストールしなおさない限り、最新版にはなりません。
特にノートンは、ついこないだまで、最新版のエンジンへは、更新ではなく購入しないとダメでした。

「え～～…じゃ、お金払ってるのが無駄だったってことですか？」

いや、最近はノートンも無償アップデートを行ってますよ。
えーとですね…シマンテックのトップページから…あれ？ここじゃないな…あれ？あれ？

毎度毎度、シマンテックのサイトはわかりにくいことこの上ないです。
「アップグレード」をクリックすると、どうしてもシマンテックストアに飛ばされます…。

あれこれ開いて、ようやく「ノートン2009最新版への無償アップグレード」という隅っこの小さな小さなリンクを発見。

Norton Update Center　：Home & Home Office Support - Symantec Corp.

そんなに無償アップグレードして欲しくないんか、この会社は…。
まぁ、他社に押されてそういう制度にしたんでしょうし、「ノートン・オンゴーイングプロテクション」で詐欺まがいの料金回収をしてるぐらいですから、無償アップデートなんてそう簡単にはさせてくれないのでしょう。

こちらで2006を削除して2009をインストール。
以前にも書きましたが、インストールは本当に早かったです。
今回はアップグレードということもあり、2009本体のインストールはものの数分、本当にあっという間です。
ノートンの場合、2006がもっとも肥満体質だったわけですが、2009にして、かなり動作が軽快になりました。
お客様も、年ごとの更新はしていても、そこまではご存知なかったので、たいそう喜んでいただけました。

いろんなお客様のところにお伺いして話を聞いていますが、ノートンもウイルスバスターも、更新料金を振り込めば、自動的に最新バージョンに変更してくれるものと思っておられるお客様は非常に多いです。
お金を振り込んだだけでは、ウイルス検索エンジンは現状のバージョンのままで、ウイルス定義ファイルが自動更新されているに過ぎません。
最新バージョンにするには、今回のように手動でアップグレード作業をしなければなりません。
「自称初心者」で何もわからないお客様がもっとも苦手な、こういう作業をしていない場合、最悪の場合、何年も更新でお金を振り込んでいるのに、たとえば「2004はもうサポートしていません」などと表示が出ている状態で、それの意味もわからず、今回のようなマルウェア（悪性のソフトウェア）にやられるケースも充分にありうるわけです。

何年もお金を振り込んでいるお得意様に対するケアができていないって、やっぱり変ですよねぇ。

そういう意味では、ウイルスセキュリティZEROは、ウイルス検索のパターンファイルはもちろん、検索エンジンも自動的にどんどん最新版にアップグレードしていますので、そこでの手間がかからないのは、非常に意義が大きいのです。
これが、私がこのソフトをお勧めしている理由の一つでもあるわけです。

もちろん、そんなことはとっくに理解している「ちょっと詳しい」「そこそこの知識のある」以上のスキルレベルの人は、「ウイルスセキュリティZEROは性能が…」とか言うことができるでしょう。
また、毎年最新バージョンにきっちり入れ替えて、対処をすることができるでしょう。
そういう人は、ご自身の納得する性能のソフトを使えばいいのです。
でも、人に勧めるのであれば、その人のスキルレベルを考慮してあげる必要があるはずです。

実際、誰でもが最新版へのアップグレード作業ができるとは限らないのですから、そろそろ大手ウイルス対策ソフトメーカーも考えていただかなければならないのではないでしょうか。

-----

そういえば、先のワンクリウェアのレジストリの解説をしていたサイトで、

Perfect! AV、いちごみるく、TATSUYA動画本舗、Download MAX、Sweet Babe、HMV、sex files. の補足　：ワンクリウェア削除の説明

多重感染させた画像を公開しています。
「よい子はまねしないでね！」の世界ですが、見たことのあるワンクリウェアが多数あり、ちょっとぞっとしますね…。
こちらの管理人様は、体を張って検証してくれて、その情報を公開してくれるわけですから、本当に感謝！です。

コメント

毎回ためになるお話ありがとう御座います。
削除の練習の為、現役のワンクリウエアのサイトを探していましたが、探すとなかなか見つからずにいました。今回は現役のしかも削除方法迄開示されているというとてもタイムリーなお話で飛びつきました。お勧めのウイルスセキュリテイ０がきっちりとブロックしてくれるのも確認できました。
ところで、Google　Chromeのシークレットウインドウからワンクリウエアのサイトにアクセスすることが出来ません。これなら有害サイトのフィルターとして使えそうですがいかがでしょうか？何かのついでに触れてくださるようお願いします。

投稿： 阿部　博志 | 2008/10/21 22:33:52

この手の架空請求サイトは私の知ってるだけで8個あります。
非常に頻繁に変わるので今現在はどうなっているのかは知りませんが、駆除方法は基本的にどれも一緒です。
①タスクマネージャ＞プロセスよりwww～という明らかに怪しいプロセスを終了
②スタート＞全てのプログラム＞スタートアップに登録があれば削除
③HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUNに登録があればファイルのパスを確認し削除
④レジストリで確認したパスにアクセスしwwwから始まるexeとbatを削除
多少レジストリに値が残りますがこれで現象は改善します。
何度も年齢認証などを「はい」などを押して進まないとこうはならないので感染している人は完全に欲望に負けたんだなぁと思ったりします（笑）

投稿： ぽぽ | 2008/10/23 22:17:38

阿部　博志 さん
情報をありがとうございました。
Google　Chromeの件は、なかなかそこまでは確認対応できないので、機会があればということで。

ぽぽ さん
どれも一緒とたかをくくっていると、久しぶりに対応したりすると思わぬ伏兵がいたりしますので、「それだけのもの」と決め込まないほうがいいですよね。
そうなると最善はリカバリですが、あまり新しくない機種では、データや設定が飛ぶなどのリスクが高い上に、時間がかかる場合がほとんどですから、それもなかなか…。

あと、「何度も年齢認証を…」と書かれていますが、この手のもので悪質なものは、それこそ名前どおり「ワンクリック」です。
「ワンクリック」で「ご登録ありがとうございました！」などと表示したり、いきなりインストールしてきたりと、被害者を混乱に陥れてしまうのが「ワンクリック」であるゆえんです。
何度も確認をさせるのは、解約の連絡時に言い逃れをできなくするための、「ワンクリック」とは別の手法です。
本来は一緒くたに扱うべきではありませんが、結果が同じなので、一緒くたに扱われることがほとんどですが。
そんな感じで、すべてが決して「完全に欲望に負けた」ということばかりではありませんよ。
事例として記事に出せてませんが、小学生のお子さんが、たまたま検索で行き当たったサイトのリンクをうっかりクリックしただけで「起動時の請求画面」ということもありました。

変な勘繰りをすると怒られますから、気をつけてくださいね。

投稿： ささもと | 2008/10/25 8:46:41

ノートンの自動課金は、多分このお客さん以上に認識度の低い「一度アンチウィルスをいれてしまえば何もしなくてもいつまでも使える」と勘違いしている人対策の一環だと思いますが、それならそれで、ライセンス更新や本体アップデートに関してしっかり警告が出るようにして欲しいものですね。
個人なら無償のAvastでさえ、そういう警告はしっかり出ます。

でも私は ウィルスセキュリティゼロは人に薦めたくないです。
（5ライセンス買って）同じ環境のマシン5台にインストールして2台失敗、再インストールもままならず、サポートもAsk.jp頼みっていうとても有償製品とは思えないクオリティで、ある意味こっちのほうが「わかっている人以外は使えない」製品って印象が強いです。

投稿： 仁清 | 2008/11/11 11:49:49

仁清 さん
本体のアップデート（アップグレード？）は、ノートンに限らずウイルスバスターもそうですので、ある種「業界の常識」的な部分はあるようです。
一応それなりの「ご案内」は出ますけどね。
Avastも、警告は出ても自動更新はありませんよね。

ウイルスセキュリティZEROですが、何度か書いてますが、インストール環境をかなり選ぶ傾向にあるようです。
Windowsセットアップ直後では、インストール失敗などの致命的なトラブルが起きたことは、私の経験では今のところありません（富士通のガジェットが使えなかったなどの相性問題はありましたけど）。
このソフトを毛嫌いしている人のほとんどは、「インストールでの失敗を経験して」という人のような気がします。
いろいろいじってある「ある種特殊な環境」や、ファイル共有ソフトなどが入っているような「妖しい環境」なんかだと失敗しやすい傾向にあるようです。
ノートン先生やバスター侍の残骸が原因？という話も、ないではないようです。
http://orbit.cocolog-nifty.com/supportdiary/2007/03/2007_5419.html
特にノートン先生は、「飛ぶ鳥あとを濁しまくり」ってことが結構多いですから…。
まぁ、だから「ウイルスセキュリティZEROがいい」とは言いません。妖しいことをしてなくても、ある種の環境に合わないことも事実あるわけですし。
実際、業務パッケージなどでは相性の解決ができないものもあるようで、その辺が低価格たるゆえんなのでしょうね。

ただ、私の見てきた範囲では、インストール失敗は、必ずしもウイルスセキュリティの方に非があるわけではないことの方が多いように感じます。
とはいえ、「手垢付きまくりの環境はイヤです」なんて言うソフトも、確かにイヤかもしれませんが…。

投稿： ささもと | 2008/11/12 7:47:26