ワンクリサイト(セックス動画EROS)について

【スポンサーリンク】

こんばんは、皆様。

昨日は寒かったですね、いよいよ冬本番に突入かという感じです。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

さて本日の記事は、ワンクリサイトです。

ワンクリ関連を記事にするのは久しぶりですね。

先ほどイカさんの掲示板を拝見していたところ、管理人のイカさんご本人の投稿の中にワンクリサイトの記述がありましたので何気なくアクセスを試みていました。

サイト名 セックス動画EROS

http://sagittarius-movie.com/

http://leo-movie.com/

ところでこのワンクリサイトは、whitemiffyさんのご回答によれば今年の上半期には閉鎖になったということのようですが、復活したということでしょうか。

実際にワンクリウェアを感染させて見ますと、感染手法が以前と異なっているようですね。

ワンクリウェアサイトの備忘録

いぬさんの御検証を拝見しますと、以前はショートカット作成型でした。では今回はといいますと、実際に画像を掲載しつつ説明していきたいと思います。

ダウンロードファイル

movie_load1353340442.hta

https://www.virustotal.com/file/67e9b5edc529f7b06066ceb0f9b7449cd44538b8c77082d774a970f7881b710c/analysis/1353340569/

プロセス

C:\WINDOWS\system32\mshta.exe

task

レジストリ

O4 – HKCU\..\Run: [andromeda] C:\WINDOWS\system32\cmd.exe /c “C:\Documents and Settings\Administrator\Application Data\andromeda\andromeda.cmd”

作成されるフォルダ

C:\Documents and Settings\Administrator\Application Data\andromeda\

andromada

このワンクリウェアは、コマンドスクリプト型と呼べばいいのでしょうか。mshtaを悪用する部分は、従来のワンクリウェアと変わりませんが、mshtaを動作させる過程でコマンドプロンプトを介して実行しているということです。

実際にコマンドスクリプトを開きますと、

@START MSHTA.EXE “%~f0” %*

上記のようなコマンドの記載が確認できます。

mshtaを悪用するという部分が有名になりましたから、左記を隠すという意味合いでしょうか…。

本当にいろいろ考えますね、ワンクリ詐欺サイトは…。

さて話を戻しまして、このワンクリサイトの請求画面は以下です。

160741588_624.v1394419587

andromada3

画像を保存したらモノクロになってしまい申し訳ありません。

このワンクリウェアの手動削除については、従来の方法で削除することが出来ますね。

皆さん、上記のようにワンクリウェアに感染させるアダルトサイトは多々存在します。

くれぐれも注意しながらインターネットを行ってください。

本日の記事は以上です。