消えない請求画面　その8

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回は、「①フリーツールでスタートアップやプロセスを除外する」方法について解説しました。
今回は、最も核心部分である「②フリーツールでウイルスを削除する」について解説します。

一般的に日々ウイルスが作られており、ウイルス対策ソフトの会社も定義ファイルを頻繁に更新して対策しているところですが、急を要するものや特殊なもの、一般向けに特定のウイルスに対する対策ソフトを提供していることがあります。
それと同じように考えると、「消えない請求画面」を起こすウイルスに対する対策ソフトがあると考えれば自然だと思います。
その方法は至って簡単で、自分でできる場合は無料です。
自分でできない場合は費用を支払ってやってもらうことになりますが、それについては次回に解説します。

消えない請求画面を起こすウイルスを削除するフリーソフトは
「ワンクリックウェア駆除ツール」です。
前回紹介した「スタートアップチェッカー」を提供しているサイトのフリーツールです。
ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
ワンクリックウェア駆除ツール
http://fos.sitemix.jp/blog/studio/oneclick

本ソフトウェアはワンクリックウェア(*1)を駆除するためのツールです。
主にmshtaやvbsを悪用したワンクリックウェアに対応しています。
*1:ワンクリックウェア
ワンクリウェアとも呼ばれます。（ワンクリック詐欺、4クリック詐欺で使用されています。）
にアダルトサイトで感染し、ポップアップで請求画面を延々と出し続ける悪質なソフトウェアの事です。
ウイルスとは異なるため、ウイルス対策ソフトでは駆除出来ない場合が多々あります。

(注意事項)
①XPの場合のみ .NET Framework 3.0 以降 を先にインストールしておく必要があります。
(Vista以降はOSに標準添付されています。)
②駆除ツールの起動時（インストール時含む）にエラーが出る場合、適切なバージョンの.NET Frameworkがインストールされていません。
③一部のセキュリティ対策ソフトが、駆除動作を妨害するようです。駆除出来ない場合は、セキュリティ対策ソフトの除外設定に本ソフトウェアを登録するか、一時的にセキュリティ対策ソフトを停止した上で、再度実行してみてください。
④本ソフトウェアはワンクリックウェアの疑いがあるファイルを検出しますが、最終的な判断は利用者に委ねられます。
（検出されたファイルが必ずしもワンクリックウェアとは限りませんので悪しからず。 ）

提供サイトでフリーソフトの使用方法を読めば使い方は分かると思います。
注意事項で使用するときに気づいたことをメモしておきます。
①②このツールはWindowsXP以降のバージョンで有効です。なお、「 .NET Framework 3.0」というマイクロソフトのソフトがインストールされていないと動かないので別途インストールしてください。私の場合もインストールされてませんでしたが、そのときに表示された指示通りに作業したらすぐにインストールできました。
③このソフトをインストールしたり、動かしたりすると、もともとインストールされているウイルス対策ソフトが警告を出すことがあります。その場合は、警告が出てもOKしたり、ネット接続を一旦切ってウイルス対策ソフトを終了させるなどの対応をしてください。
④駆除作業中に単なる実行ファイル(.exe)をウイルスとして検知します。例えば、「スタートアップチェッカー」や「ワンクリックウェア駆除ツール」をインストールするためにダウンロードしたファイルなどを検知しますが、確認のうえ削除するか決めてください(残しておいても削除してもOK)。
※WindowsXPより前のバージョンであるWindows2000やmeだったらどうするのかという点については、古いOSを使用すること自体が問題であり、早く買い替えをすすめます。対策としては初期化するか「①フリーツールでスタートアップやプロセスを除外する」という方法になると思います。

とにかく、「ワンクリックウェア駆除ツール」がうまくインストールできたのなら後は簡単です。
駆除ソフトを起動させればいいのです。

それでは私のパソコンでの作業画面をお見せします。

↓↓　「タスクスケジューラー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「スタートアップレジストリー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「データフォルダ」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました　→　ウイルスなので削除します

↓↓　「データフォルダ」から、「candydolls_1326679406.hta」という「.hta」ファイルが検出されました　→　ウイルスなので削除します

以上のように、「.vbs」「.hta」ファイルを検出し、削除しました。
結局、検出されたソフト名が具体的な名前になっているのは「candydolls_1326679406.hta」の「candydolls」ぐらいですので、初期の頃と比べようがないぐらい見つかりにくいですし、ソフトが存在する場所も深いところで分かりにくくなっています(初期の場合はWindows32というフォルダに「.exe」「.bat」の2つだけだったのですぐに分かりました)。

この駆除ソフトを使用したときに作成される「駆除ログ｣も紹介します（実験のため駆除はせずにログをとりました。したがって、本来は「駆除しませんでした」という部分が「駆除しました｣になります)。

全ユーザー用のスタートアップフォルダを調査
→検出されませんでした。
————————————————————
カレントユーザー用のスタートアップレジストリを調査
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
全ユーザー用のスタートアップレジストリを調査
→検出されませんでした。
————————————————————
データフォルダを調査
C:\Documents and Settings\All Users\Application Data
→検出されませんでした。
C:\Documents and Settings\Administrator\Application Data
→[jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93] C:\Documents and Settings\Administrator\Application Data\Microsoft\jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93.vbs
→駆除しませんでした。
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
C:\Documents and Settings\Administrator\My Documents
→[candydolls_1326679406] C:\Documents and Settings\Administrator\My Documents\ダウンロード\candydolls_1326679406.hta
→駆除しませんでした。
————————————————————
調査が完了しました。

前回、「今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。」と解説しましたが、上のログのとおり、単純なスタートアップフォルダからは検出されず、深いレジストリーに登録されていますので表面的には分かりません。
今回のウイルスは、「.vbs」ファイルが3つと「.hta」ファイルが1つの合計4つのファイルを削除することで駆除できました。
要するに、ウイルスが「.vbs」「.hta」で動いていることが、以前に比べようもないぐらいに悪質に「進化｣したのです。
ちなみに、この「.vbs」「.hta」はWindowsのシステムを利用して悪さをしますので、Macや携帯電話、iphone、Androidなどでは感染しません。

※追記(3/21)※Androidでは、これとは別のタイプの消えない請求画面が確認されています。
「スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も(2012年1月11日)」
トレンドマイクロのセキュリティブログより
http://blog.trendmicro.co.jp/archives/4714

駆除作業自体は、ほんの2-3分の作業です。「フリーソフトのインストールを含めたこの作業」と「リスクのあるWindowsの復元や初期化の作業」と比べて、どちらが安全で確実で簡単かは一目瞭然だと思います。
こんな簡単な方法があるのに、堂々と紹介できないのが、消費者センターなどの公共機関のつらいところですね。
相談員として、こういう事実を知った上で、IPAを紹介してほしいと思います。また、相談者に少々パソコンの知識があるのであれば、『自己責任だけれども「ワンクリックウェア駆除ツール」というものを使う方法もあるので、ご自身で調べてください』と誘導することも、ぎりぎりセーフなのではないかと思います。

それよりも、今回の記事を読むと、IPAを本当に紹介してもいいのかという自己問答になるかもしれません。
真実があるのに紹介できないジレンマ。
しかし、本当の真実は、相談員のコミュニケーションテクニックでクリアできるのです。
私が相談を受けたとすれば、IPAだけでなく、今回の方法や有料の方法も含めて、消費者にいくつかの選択肢を情報提供して、消費者のレベルに応じて、消費者自身で選んでもらうように説明します。
それが、消費者基本法にもうたわれている「情報を知る権利」であり、「選択する権利」だと思います。

そのためにも、相談員は日々勉強し、日々努力することが求められるのです。
このサイトの読者であれば、そのことに気づいていると思います。
だからこそ、多くの相談員にこのサイトを知ってもらいたいという思いもあり、継続しています。
そして、このサイトを見ているだけでも、格段にスキルは向上しているのではないかと確信しています。

次回は、検索サイトの広告に注意、有料での駆除について解説します（おそらく、このシリーズの最終回です)。