Intelligent Life

これからの時代に必要なのはインテリジェンス。欧米や新興国に負けないよう頑張りましょう。

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
このページのトップへ
私はセキュリティ・ソフトについてはそこそこ気を使う方なので、ウィルスにはあまり縁のない方ですが、今日、突然、アダルトサイトの入金を促す画面が右下に現れました。タスクマネージャから強制終了しても、ログインしなおすと出てきます。こういったものがもし、会社のPCで発生してしまうと慌てますよね(苦笑)。

まず、ウィルスを疑い、HDD 全体に対してチェックをかけました。それと並行して、何かヒントがつかめないかと、タスクマネージャを立ち上げて実行プロセスを画面撮りし、アダルトサイトの入金画面を強制終了させて、再度、実行プロセスの一覧を眺め、強制終了の前と後でプロセスの差分を比較しました。

そうすると、dllhost.exe と mshta.exe の2つが違いとして認識できました。次に、msconfig.exe を立ち上げ、dllhost.exe または mshta.exe がスタートアップに登録されていないかを見たところ、mshta.exe が起動されており、それに対する引数として、アダルトサイトと思われる URL が http://xxxxx の形で指定されていました。この http://xxxxx の部分をブラウザで指定すると、強制入金の画面イメージそのものがブラウザに現れました。これでした!

あとは、スタートアップから完全に削除しなければなりませんが、これは、通常の「すべてのプログラム」の中の「スタートアップ」には登録されない類のスタートアップなので、レジストリをいじらなければなりません。そこで、regedt32.exe を起動し、http://xxxxx のキーワードを検索してみました。すると、HKEY_USERS\S-1xxxxxxx\Software\Microsoft\Windows\CurrentVersion\Run の下に、その指定が登録されていました。mshta.exe は Microsoft 純正の EXE のようで、単にこれにアダルトサイトの URL をパラメタとして指定するだけなら、ウィルスとしては認識されません。手がかからない割には、なかなかの手口ですね(笑)。

Run の下に指定されていた定義をレジストリから削除し、再度、ログインしてみたところ何も出なくなりました。ファイルを改ざんしたりするようなものでなくてまぁ、良かったのですが、どこでレジストリをいじられるような処理が走ってしまったのか。

みなさんもどうぞ、お気を付けくださいませ。くれぐれも、覚えのないサイトに対して電話したり、入金したりしませんように。
スポンサーサイト
このページのトップへ

コメント

このページのトップへ

コメントの投稿


管理者にだけ表示を許可する

このページのトップへ

トラックバック

FC2Ad

Information

古琳斗(コリント)
  • Author: 古琳斗(コリント)
  • 難しくなって来ている時代だからこそ、インテリジェンスが必要です。知識を得ることは本来、楽しいもの。ゲーム感覚で向き合ってみましょう。

Search

Calendar

09月 « 2017年10月 » 11月
Sun Mon Tue Wed Thu Fri Sat
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

 

これまでのお客さま


フリーエリア

月別アーカイブ

最近のコメント

リンク

このブログをリンクに追加する

最近のトラックバック

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。