サイトリスト（詳細編）

最近ワンクリサイトの手口にワンウリウエアと言われるものがあります。
サンプル動画などをダウンロードしたとたん、デスクトップに「請求書」などが現れたり、
同時に教えてもいないメールアドレスに請求メールが届いた！？
この手口に不安になられている方が多くなってきました。
からくりが判れば安心できるかと思い、解説してみました。
（今回のチェックに際しましては「ネット詐欺相談室」の管理人様の情報提供が大変役に立ちました。多謝！）

表示方法を変更しましたので、ページ直リンクから来られた方は
こちらをクリックしてください。

概要

これらのサイトは、動画に関するプログラムをダウンロードさせるように見せて
実は、PCに登録してあるメールアカウント（アドレス）を全て抜き出す為のプログラムをダウンロードさせます。
それを実行させることでメールアドレスを抜き出し、そのアドレスに請求メールを送りつけます。
また、請求書をデスクトップに貼り付けたりします。

また、このプログラムはワンクリウエアと呼ばれるスパイウエアですが、
よく言われる悪質なウイルスではありません。
「請求書」「メールアドレス抜き出し」「サイトへの誘導」この程度です。
後で料金を請求する画面が頻繁に現れるようになった場合は「タイプ２－１」を参照してください。
先日まで「プログラムが常駐活動するタイプでは無いようです。」と書きましたが
「裏exe」を残したままでメルアド変更すると、
変更したメルアドにも請求が来たという報告がありました。
現在調査中です。
メルアドの変更は、必ず「裏exe」を削除した後に行ってください。
それ以外のPCを破壊する等の悪さはしませんので過度の不安は無用です。

注意！
最近、一般に言われるスパイウエアのチェックソフトで感知できるようになってきました。
まずはそれらのソフトウエアでチェックしてみるとよいでしょう。
それでもチェックされない場合は下記の方法を試してみると良いと思います。
PC初心者の方は出来るだけ知識のある方に協力を得て行ってください。

下記にダウンロードされる経緯と削除方法を順を追って解説します

その１

スパイウエアをダウンロードさせられて「入会」となるまでの経緯

経緯１

	左のサイト画面はサイトのキャプチャではありません。説明のために作成した疑似サイトです。画面の解説該当するサイトと思ってください。メインページの女の子の画像やムービーなどの写真などどれか一つをクリックしたとします。
	クリックすると・・・
【参照画面．１】	左のようなダウンロード画面が出て「開く」又は「保存」をクリックしたとします。この時点で「キャンセル」か窓を閉じれば何も問題ありません。

経緯２

	【参照画面．１】で「開く」をクリック又は「保存」した後にデスクトップに現れたアイコンを起動させるとデスクトップ画面に右のようなポップアップが表示されます。＊IP表示は適当です（汗
	さらに、登録画面への誘導に移り
	例えば左のような情報取得画面が現れます（他にも何種類かあります左フレームの中の「個人情報取得中？」を参考にしてください）これは情報取得に見せかけた単なるアニメーションです。実際にこの画面で何か取得されているわけではありません。脅し画面なんですよ
	その後・・・
	入会画面に移るわけですね

その２

ダウンロードさせられるファイルなどの解説

上記【参照画面．１】で「開く」か「保存」をクリックすることによって生成されるファイルは、下記の通りです。
ご覧になって判るように、「windows」や「movie」などのロゴで偽装して騙していますので注意しましょう。

「保存」の場合

解説

デスクトップに
貼り付けられる
表exeファイル

（例）
　　　

　　　update.exe　　

下段「開く」で表示したファイルなどを組み込む
インストールプログラムです。
説明の都合上、総称を「表exe」とします。
このままであれば削除すれば問題ありません。
ただし、ダブルクリックで実行すると
下段の「開く」と同じ状態になります。

下段の「開く」を実行した際に
ProgramFiles内に作られる
exeファイル
（説明の都合上、総称を
「裏exe」とします。）
（例）

「開く」」の場合

請求書

デスクトップ上に
メモ帳形式で貼り付けられる場合もあります

実行プログラムです。
メールアドレスの抜き出し、請求書の貼り付け等を
行う実行犯とも言うべきプログラムです。
説明の都合上、「裏exe」とします。
「表exe」と同じロゴマークですが
内容は全く違います。

　　　　　　　　起動して行われること　

・PC内の「outlook」「office」に登録した
　メールアカウント（アドレス）を抜き出します。
・デスクトップ上に「請求書」を貼り付けます
・サイトの登録画面に誘導します。

該当サイトの裏exeアイコンは
判りやすくするために
上記「保存」の場合に
掲載しました。
　
＊アイコン掲載がないものは
現在UP準備中です。
その場合、名称で判断願います。

msinet.ocx

一般的な通信コンポーネントです。
「裏exe」が行う抜き出し作業の補助的な役割です。
これ自体は一般的なファイルで悪意はありません。

MSWINSCK.OCX・WINSKJP.DLL
VBランタイムのライブラリですね。
生成されるサイトとされないサイトがあるようです
これ自体は一般的なファイルで悪意はありません。

生成確認サイト
「動画runner」など

簡単に言えば、「裏exe」の実行の補佐です。
レジストリに関しては知識がない方はそのままで！
これが残っても直接問題はありません。

その３

生成されたファイルの確認と削除方法

「保存」をクリックした場合

上記【参照画面．１】で
「保存」をクリックした場合の削除法です。

ちょっと見づらいですが、デスクトップ画面で
黄色のフォルダの下に
「update.exe」（表exe）があります。

これを起動（ダブルクリック）していなければ
削除してしまえば大丈夫です。

「開く」をクリックした場合

１．請求書の削除

上記【参照画面．１】で

「開く」をクリックした場合は
「表exe」がその場で実行されます。
つまり、インストールが行われます。
このインストールによって生成されるのは
上記の「解説２・生成」で表示した
・請求書
・update.exe（裏exe）
（サイトによって名称が違う場合あり）
・MSINET.OCX
・レジストリの書き換え
の４つです。

左画面はその内のデスクトップに
貼り付けられた「請求書」と
「請求書」を開いたところの拡大です。

気になるので削除しましょう。

２．「裏exe」などの削除

続けて「ProgramFiles」の中です。

場所が判らない方へ

・デスクトップ上の「マイコンピュータ」
　　　　　　↓
・ハードディスクドライブ（C)
（windowsが入っているドライブ）
　　　　　　↓
・「ProgramFiles」と書かれたフォルダ

この中に表示された
・update.exe（裏exe）
（サイトによって名称が違う場合あり）
・MSINET.OCX
この２つを削除しましょう。

普通はこれでOKです。
レジストリは無理にさわらなくてOK

【画面の説明】
画像は「動画ナビ」にてかきかえられた
レジストリを表示させたものです。
画面の右の部分の
「SerialXm」と書かれたものがそうです。
これを削除ですね。

２．で「裏exe」を削除すればOKですが
　　　　　どうしても気になる方はこちらも修正。

３．レジストリの修正について

まずはレジストリとはどういうものか？
知識を持ちましょう！
矢吹拓也のいじくるレジストリ　INDEX
レジストリとは何か？

レジストリの修正は知識が必要です。
間違った操作をしますと
システムに重大な影響が出ますので、
削除には十分注意を払ってください！
不安な場合は無理に削除しなくてもOK

【削除方法】
スタートメニュー
↓
ファイル名を指定して実行よりregeditを起動
↓
下記の表から該当キーを検索　削除

左の修正場所と上記削除方法は
ロブロイ様から情報を頂きました。（感謝！）

その４

削除後の対策と注意

削除方法は以上ですが、ご質問の中には
「（これ）は発見したけれど、（これ）は見つからない！」の質問があります。
個々のブラウザ等の設定で多少の違いがあると思います。
肝心なのは「裏exe」の削除です。これが出来ればOKなんです。

最後の作業が残っています！

「裏exe」が起動してメールアドレスが抜かれたと言うことは
そのアドレスには今後請求が来ると言うことです。
もちろん、無視でかまいませんが
苦痛なら着信拒否か生成されたファイルを削除したうえで、
アカウント（メールアドレス）の変更をすれば良いと思います。

＊削除しないままアカウント（アドレス）変更をしても意味がありません。
　サイトが貼り付けたスパイの手段を絶ってから変更です

また、こういった手口は出回りすぎるとプログラムを変えて来たりします。
今後も対策の参考にさせて頂きたいと思いますので、何か情報がありましたら是非BBSにてお願いします。

その５

参考資料

「動画Walker」での「裏exe」の内容を見てみますと下記の通りです。

裏exeに(Unicodeで)含まれる文字列
Software\Microsoft\Internet Account Manager\Accounts\000000
SMTP Email Address
SMTP Display Name
Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts\000000
.DEFAULT\Identities
キーのオープンに失敗しました
\Software\Microsoft\Internet Account Manager\Accounts\000000
&cd=
ttp://douga-walker.com/get.php
ERR
ご入会ありがとうございます。お客様の情報を IP =
アクセスポイント =
で登録しました。
本日より 0 日以内にご入金くださいますようお願いいたします。
\ご請求書.txt
C:\Program Files\Internet Explorer\IEXPLORE.exe ttp://douga-walker.com/regist.php.mov
必ずサイトからアクセスしてください
C:\Program Files\Internet Explorer\IEXPLORE.exe ttp://douga-walker.com