忍者ブログ

表参道デジタルクリニック

このブログはワンクリック系の不正請求(またはそれの疑いがある)サイトの研究発表である。 主にデスクトップに表示される、消えない請求画面を消す方法を研究しているぞ!

選択したカテゴリの記事一覧
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。


■検体
Adult Movie Cookie(http://www.adult-kk.com/)
Adult Movie Light(http://www.wg-adult.com/)

■所見
・動画を見ようとするとどちらも右のような登録完了通知を表示する。
・登録完了通知は右上の×ボタンで閉じることができるが、しばらくするとまた表示される。
・支払期限をミリ秒単位で表示するため、パソコンの処理が遅くなる。

※画像はクリックで拡大できるぞ

■治療指示
・CCleanerなら、プログラム名が「webwgada」またはファイル名が「rundll32.exe」で始まり、「\wgada\xxxxx.hta」(xxxxxは任意の文字列)で終わる行を選択し無効または削除。(詳しい操作手順はこちらの記事へ)
・レジストリエディターなら、キー名
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」の
名前が「webwgada」またはデータが「rundll32.exe」で始まり、「\wgada\xxxxx.hta」(xxxxxは任意の文字列)で終わる行を削除。(詳しい操作手順はこちらの記事へ)
・エクスプローラでC:\Documents and Settings\All Users\Application Data配下のフォルダ「wgada」を削除。(お目当てのファイルやフォルダが表示されない場合はこちらの記事へ)

■感想
・登録完了通知の画質が荒い上に、俺の好みでない。どうせならもっとかわいいのにしてくれ。動画も所詮この程度なのか? 5万円も払う価値はなさそうだ。
・サイト名を変えて、同じワンクリウェアを仕掛けている。
・合同会社チャンネルサービス系はこのタイプのワンクリウェアがよく使われているらしい。解除方法をちょっと応用すれば解ける。
PR

今回の検体は、ADULT MOVIE FLASH(http://www.av-flash.net)だ。

このワンクリウェアのタイプは今までとは少し違う。
今まで見てきた2つのワンクリウェアは共に起動時にmshtaを起動させるタイプだったのに対し、今回のはexeを起動させているところだ。

【症状】
fl-2_open.jpg動画を見ようとすると、exeファイルの実行を要求し、実行すると右のような目障りな画面が常に手前に表示される。
おまけに、画面上部にIDと契約日時、下部に支払期限のカウントダウンと、心理的に追い詰める設計までされている。
一応良心的な設計なのか、画面右上の「×」ボタンを押すと画面は消える。しかし5分経つと再表示

fl-4_open.jpg再起動時は、ブラウザが自動起動され、目障り画面を表示(右図)。同時に右上の画面が常に手前に表示される念入りな設計。





【補足情報】
fl-1_open.jpgキングソフトのアンチウイルスであれば、サイトでexeを実行しようとしたときウイルスと判断され実行が阻止されるぞ。キングソフトさん、グッジョブ!

【所見】
・自動起動は、間違いなくレジストリ改ざんによるもの。
・画面右上の「×」ボタンを押すと画面は消えるがプログラムは裏でしっかり動いている。

【対処】
※結果については自己責任でお願いします。
※失敗したら最悪Windowsの再インストールをしなければならないので、大事なデーターはバックアップしておいて。
※この手順はWindowsXP SP3およびIE7の環境での操作例だ。OS・ブラウザのVersionによってはこの通りにいかない場合もある。注意してくれ。

今回もccクリーナーを使用する。使用後アンインストールしても構わない。
・ccクリーナーはググればすぐ見つかるが、面倒な人以下のURLからダウンロード
http://ccleaner.brothersoft.jp/download-CCleaner/3088


fl-5_open.jpg1.ccクリーナーでの作業(必須)
 1-1.ccクリーナーを起動
 1-2.右の図①、ツールをクリック。
 1-3.右の図②のスタートアップをクリック
 1-4.ファイル名がランダムな16文字の文字列で、拡張子が「.bat」のもの
     を探し、クリックして反転。(右図の③)
     例)aRdwavikenEkeDEk.bat
     ※このファイル名(+格納フォルダ名(パス名))があとの手順で重要
      になってくるので必要ならメモしておこう。
     ※カタギなWindowsプログラムなら意味不明な文字列をファイル名としては使わない。
      よって、重要なプログラムを消してしまうことはまずない。
 1-5.右の図④、エントリを削除ボタンを押す
 1-6.続いてプログラム名が「www.av-flash.net.html」のものを探し、クリックして反転。(図③)
     ※この行のファイル名欄に書かれているhtmlファイル名(+格納フォルダ名(パス名))が
      あとの手順で重要になってくるので必要ならメモしておこう。
 1-7.右の図④、エントリを削除ボタンを押す
 1-8.パソコンを再起動

2.つづいてファイルの削除(オプション)
自動起動の設定は手順1で削除しているので、もう悪さはしない。しかし、坊主憎けりゃファイルも憎いという方は、勝手に作られたファイルも削除してしまおう。
fl-7.jpg
 2-1.エクスプローラーで手順2-1でメモしたフォルダ(パス)を開く。
 2-2.メモした[任意の16文字].batファイルと、同じ名前のexeファイルを削除。(右図参照)




fl-6.jpg 2-3.続いて、エクスプローラーで手順1-6でメモしたフォルダ(パス)を開く。
 2-4.メモした[任意の16文字].htmlファイルと、同じ名前のjpgファイルを削除。(右図参照)

これで完了だ。

しかし、この画面の絵、突っ込みどころ満載だ。
縛られて目隠しさせられた女性の写真だが、引っかかった人間に「お前は逃げられないぞ!」とでも言いたいのだろうか? なんかムカつく

こういった、人を小馬鹿にした態度のサイトは、そもそも意味のないものにしてしまえばよい。
どんどん対処法を広めてくれ。
宣伝頼むぜ!

←左や下↓の広告クリック。
←左に書かれたアクションを、できる範囲でしてほしいぞ。

02 2024/03 04
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
■名前 :田中一郎
■性別 :不明
■詳細 :詐欺サイト・詐欺に近いサイトの撲滅を目指す、キレ系エンジニア

ここの記事が役立った方へ!
できる範囲で次のアクションをしてみよう!
.ブログ、mixi日記などでこのサイトを紹介。 (友達の体験談として書くと、書きやすいぞ!)
.この下(↓)の広告リンクをクリック! (正義の味方もタダじゃ出来ないこの世界。乞う協力!)
.被害を免れた金額の1~5%を寄付!
あくまでも任意です。
 ■振込先
  銀行名:ゆうちょ銀行
  支店名:〇一九(ゼロイチキュウ)店(019)
  口座番号: 当座 0565157
  受取人名:オモテサンドウデジタルクリニック
最新コメント
[04/04 ロリ動画]
[04/04 ギャル動画]
[04/04 グラビア動画]
[04/04 おっぱい動画]
[04/04 人妻動画]
最新トラックバック
管理用
 | HOME | 
Copyright ©  -- 表参道デジタルクリニック --  All Rights Reserved
Designed by CriCri / Photo by Geralt / Powered by [PR]
/ 忍者ブログ