ワンクリ詐欺との遭遇(webnxmer)

2013/04/01

 知人のパソコンに変なものが表示されるという連絡。行ってみると、パソコンを起動してしばらくすると、画面の右上に、以下の画像、というよりポップアップが表示される。

0401_02 これが、始めて見た、「ワンクリック詐欺」というもの!それとも、エイプリルフール!

 表示画面は、リンクがありそれぞれクリックできるようになっているが、クリックするのも怖いから、ちょっと調べてみようと、「右クリック」・・・

 右クリックも効かない。ソースが見えれば何となくわかるような?というより、ソースを見たかったのかもしれないけど、、、(画像は、実際の画面のハードコピーです。)

 仕方ないので、「ctrl」+「alt」+「del」でタスクマネージャーを起動して、何が動いているかを確認すると、まず、怪しいなと思ったのが、mshta.exe。早速、グーグルで検索すると、出る出る「ワンクリック詐欺」情報。

 mshta.exeは、ポップアップのために用意されたものみたい。スタートアップに登録されていれば、それを停止すればOK、ということで、とりあえず、タスクマネージャーの「プロセス」から、ポップアップを表示したまま、mshta.exeを停止させると、確かに表示が消えた。これだ!

 ということで、早速、msconfigを起動して、スタートアップを確認する。でも、ない。検索では、拡張子htaを起動するようになっているということだけど、どうやらこれは、別のケースかな?と思っていると、またまた、ポップアップがヒョジされた。これって、消しても、消しても一定時間で、表示するようになってるんですね。すごい!なんて感心してる場合じゃないんだけど。

 ネット検索で、確認して「mshta.exe を削除」などとあるので、削除しようと、、、管理者権限で作られているユーザーで、変なことになるとイヤなので、ファイル名を_mshta.exeなどの変更しようをするが出来ない。改めて、administratorで再ログインするも、出来ない。削除も出来ない。「mshta.exe は削除できません」というサイトもありました。

 それで、他のサイトに紹介されているレジストリーの削除でレジストリーを表示しても、該当する部分が見当たらない。え~!どこにある?

 そこで、ほかに絡んでいるプロセスがあるはず、ということで、今度はタスクマネージャーの「アプリケーション」から、起動しているソフトを確認して、その「プロセスの表示」関連するプロセスが表示される。
 以下の画面は、そのときのものではないけど、Google Chromeを起動していれば、それを右クリックして、「プロセスの表示」をクリックすれば、「プロセス」タブが開いて、関連するプロセスを表示してくれる。

0401_010401_04

 それで、出てきたのは、webnxmer。これって何?

検索してみると、やっぱり「ワンクリ詐欺」に関係ありそう。そこで、もう一度、msconfigでスタートアップをチェック。

 ありました、ありました。webnxmer!

0401_03

 まずは、このスタートアップを停止させる。

次に場所を確認すると
C:\ProgramData\nxmer\の中の39863921というファイル。見ると、バッチファイルが一つ、同名の後ろにhのついた拡張子なしのファイルが一つ。この二つも削除してしまえ!ってことで、削除。

 ここで再起動して、しばらく待ってみるけどポップアップが表示されなくなった。

これで、OKだったのかな?
 しかし、どうやって入ってきたのかを知りたかったけど。何かをダウンロードしたときにくっついてきたのか?メールの添付ファイルなのか?確かに、なんだかわからない迷惑メールはたくさん来ているということ、でも、わからないからそのまま削除している。といいます。どこからやってきたのかを調べたかったですね。

 知人は、「連絡はこちら」というところをクリックしたけど、何もならなかったと言います。「なんと、恐ろしい!」でも、クリック詐欺を知らない人は、参照記録なるものが表示されていて、その時間は、自宅にいなかったからそんなの見るはずもない!ということで、「連絡しなきゃ!」なんて、クリックしてしまうんでしょうね。

 なんでも、かんでもクリックは、やめましょう!!