息子の PC に取り憑いた不埒なプログラム(エロサイトの金額請求画面が出まくる迷惑プログラム)は,Spybot の検査では果たして検出されなかった。これは,スパイウェアというよりも,「ワンクリック不正請求詐欺」というものだそうである。いかにエロサイトを見ているといえども,さすがにいかがわしいプログラムを実行したりしない私は,こんな経験はなかったので,バカ息子のおかげで勉強になった。これを「ワンクリウェア」と呼んでいるサイトもあった。ワンのクリするなんとかなんて,イヤらしさの気が利いている。だから私も以下「ワンクリウェア」と称することにする。
多くのワンクリウェアの手口は,「この動画を見たい人はコレを実行」とかなんとか唆して,スクリプトをエロ閲覧者にダウンロード・実行させるというもの。スクリプトは,mshta.exe を自動起動するようにレジストリを書き換えてしまう。すなわち,システム起動と同時に mshta.exe(これ自体は Windows 付属のきちんとした HTML 解釈器らしい) が指定サイトの請求画面をデスクトップに貼付けるような動作を引き起こす。そういうのが代表的な振舞いのようである。
対策方法は "mshta ワンクリック" ででも検索すればわしゃわしゃ得られる。参考までに今回私が採った対策をメモしておく。ただし,ワンクリウェアはモノによっては追加的工夫をしていて,ひとつの手順であらゆる亜種に対抗できるわけではなさそうである。それを考慮した上で以下の対策を参考にしていただきたい。
msconfig(「スタート」→「ファイル名を指定して実行」から msconfig と入力して実行する)のスタートアップ一覧を子細に確認すると,mshta.exe http://
しかし,今回はこれだけではなかった。以上の対策をして再起動しても,しばらくするとまた症状が出る。システム停止時に再登録するウィルスでも併用しているのかと,大いに悩んだ。しかし,そんな迂遠な手法を採るだろうかとしばらく考えるうちに,タスクスケジューラに気付いた。このワンクリウェアはスタートアップに登録するだけでなく,タスクスケジューラに定期的に同じコマンドを実行させる工夫をしていた。タスクスケジュール一覧(これは「コントロールパネル」→「タスク」などから確認できる)を開いて,そのタスクを削除した。これでウチのワンクリウェアはやっとおとなしくなった。
