トロイの木馬付きワンクリック詐欺サイト
http://hay3.net/● ワンクリック詐欺誘導ブログから「動画を見る」などのリンクをクリックすると、以下の画面に飛ばされます。
● 年齢認証画面のはずが、数秒すると以下の画面に勝手に切り替わります。
● 一見すると年齢認証のように見えますが、スクロールして下の画面の青枠で囲った部分(画面クリックで別窓拡大)を読んでみてください。特にアンダーラインを引いてある部分に注意。
3.本サービスにご登録した時点で、当サイトへの入会が完了し会員様として利用料金キャンペーン料金49000円(通常料金は120000円)が発生いたします。お支払い期日は2日以内となります。
6.本サービスの会員登録が完了した時点でアダルト画像動画を含むご案内画面(htaファイル)が支払い完了までの間、デスクトップに表示される事を承諾するものとする。
●「3」に関しては、有料サイトだという事。「6」に関しては後で説明します。このような文言をぱっと見分かりにくい形で紛れ込ませています。
● 両方にチェックを入れて「はい」ボタンを押すと、以下の画面に切り替わります。「動画の再生手順」がトップに記載されていますが、この通りにすると「トロイの木馬」がインストールされてしまいますので注意!
● とりあえず「保存」を選択すると「movie.hta」という1KB程度のファイルがダウンロードされます。
● この時点でクッキーの内容を見ると、以下のように「アイスクリーム(改)」に非常に似た内容になっています。
手口とあわせて考えると「アイスクリーム(改)」と同じところで運用していると考えていいのではないかと思います。
● さて先ほど保存した「movie.hta」をWinXPマシンで実行すると、以下のようになります。
まず「Windows Media Player」が起動して、アダルト動画が再生を始めます。
● 続いてその下に隠れるように「ご入会ありがとうございました。金払え!」と言う、お約束な内容のIEのウインドウが開きます。
● さらに数秒後以下のウインドウがだめ押しのように開きます。
● 続いて「そちらの情報は把握したから、逃げられないぞ」というメッセージが出ます。
● 通常この手の詐欺には振込先口座が記載される事が無いのですが、「トロイの木馬(後述)」のせいか、強気で振込先口座が記載されています。(警察あたりで早めに口座凍結して欲しいものですね。)
● 最後に「お問い合わせ」の記載がありますが、要は「うちはちゃんとした手続き(と主張している)で契約したので、解約は出来ないし、振り込んだお金は返しません」と言う内容となっております。
● 最後に上記のウインドウを閉じるとモニタの右下2/3を占める以下の様なウインドウが、開いています。これが「ワンクリウエア」と言われる「トロイの木馬」です。(ちなみに「×」ボタンで閉じても、すぐに同じウインドウが開きます。)
前述の
6.本サービスの会員登録が完了 した時点でアダルト画像動画を含むご案内画面(htaファイル)が支払い完了までの間、デスクトップに表示される事を承諾するものとする。
という記述が、これに相当します。
● ちなみに相手のパソコンに「トロイの木馬」を仕込む行為(向こうの説明通りに実行した結果感染するので)は電子計算機損壊等業務妨害(刑法234条の2)の罪に問われる可能性があるそうです。この事から考えても、すでにこのレベルでこのサイトは「違法サイト」と考えてもいいのではないかと思われます。
● 最後にこの「迷惑なトロイの木馬」を削除する方法ですが、筆者は直前に「スタート/ 全てのプログラム/アクセサリ/システムツール/システムの復元」ツールで復元ポイントを作製してから「トロイの木馬」を作動させたので、前の復元ポイントに復元する事で、「トロイの木馬」を排除することが出来ました。
この「復元ポイント」はシステム側でも自動的に作製するので、「トロイの木馬」に感染する前の「復元ポイント」に復元すれば、「トロイの木馬」を削除可能ではないかと思います。
「システムの復元」方法詳細説明 →「システムの復元」手順
※ 画像の一部を自主規制させて頂きました。
