【現象】
下記の図のように目を覆いたくなる恥ずかしい画像がデスクトップ上に表示されます。この悪さをしているのは ワンクリックウェア(HTAファイル)と呼ばれるものです。
【対応手順1】
キーボードのCTRL+ALT+DELETEの3つを同時に押して下記の図のようにタスクマネージャを起動させます。
【対応手順2】
タスクマネージャのプロセス一覧の中に上記図の赤枠内にある mshta.exe を確認できたら、そこをマウスで右クリックして「タスクの終了」を左クリックで決定する。これを終了させればひとまず問題の広告は消える。
※こうなるとパッとみでは mshta.exeが諸悪の根源に見えてしまうが実は違う。mshta.exeはWindowsに搭載されたブラウザ(IE)に備わった機能です。mshta.exeの特性を利用してレジストリから呼び出されるワンクリックウェア(HTAファイル)が不正請求画面を表示させているのです。
【対応手順3】
万一のときに備えてレジストリをバックアップします。スタートボタン → ファイル名を指定して実行 → regedit と入力しOKボタンを押してレジストリエディタを開く → 左上のメニューから”ファイル”を選びエクスポートを押し、保存先指定して保存。
【対応手順4】
ここからが本題です。mshta.exeを呼び出すレジストリを削除する方法です。手順3の画面のまま下記の図の赤枠内のサブメニューから次の箇所を参照する。
・マイコンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
【対応手順5】
今回の現象では、右側のメインメニュー内のデータ項目に *****.hta というパス指定があるのでそれを見つけ出し、マウスボタンを右クリックして「編集」から「削除」する。
ちなみに今回の現象では、以下のパス指定で設定されていた。
[HKLM]**webamixi - mshta.exe C:\Documents and Settings\All Users\Application Data\amixi\xxxxx.hta
削除したあとはシステムを再起動して作業完了です。
この手の現象は他にも似たような手口のものが沢山あり、今回の例ではXXX.hta の指定は一箇所に留まったが、他のタイプでは下記のデータ項目にも潜伏していることがあるそうです。
■マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
■マイコンピューター\HKEY_USER\(User名)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
また、データの値が ~~*****.hta のような記述以外にも ~~*****.php で指定されているものもあるそうです。
【あとがき】
この手の詐欺について専門に取り扱っている IPA独立法人情報処理推進機構 で更に詳しい情報があるので気になる方はぜひ一度ご覧になってください。
