パソコンを起動してインターネットエクスプローラーを立ち上げると勝手にアダルトページに
飛ばされる、検索をクリックしてもアダルトページに飛ばされる、身に覚えがないのに
ホームページを書き換えられた 色々攻撃を受けた方も多いと思われます。
私も今回悪質なトラップに引っ掛かり大変困りました、時間は掛かりましたが何とか解決できたので
もし似たようなトラップに見舞われたときは参考にして下さい。
WEBページに悪質なJavaScriptが仕込まれ、そのページを閲覧するだけで悪質JavaScriptで
スタートページ・サーチぺージ・サーチアシスタントの改変を行います。
InternetExplorerのセキュリティホールを利用してJavaScriptから本来は利用不可能なActiveXへのアクセスを可能とし
Webページを閲覧するだけでレジストリを勝手に書き換えてしまいます。
以下が書き換えられたレジストリの一部分です
通常ならレジストリエディタで該当個所を削除するだけで完了するのですが
今回は悪質でwindowsが起動する度にwindows¥systemフォルダ内にある
radF7017.tmpファイルを読み込んでレジストリにセーブするので消しても消しても復活するのです
表1
|
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer] "SearchURL"="http://www.under********.com/cgi-bin/potop.cgi?action=in&ACC=188" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.under*******.com/cgi-bin/potop.cgi?action=in&ACC=188" "Search Page"="http://www.under*******.com/cgi-bin/potop.cgi?action=in&ACC=188" "Search Bar"="http://www.under*******.com/cgi-bin/potop.cgi?action=in&ACC=188" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] "CustomizeSearch"="http://www.under*******.com/cgi-bin/potop.cgi?action=in&ACC=188" "SearchAssistant"="http://www.under*******.com/cgi-bin/potop.cgi?action=in&ACC=188" 起動する度に上記の赤色URLが書き変わる |
※判りやすいようにテキスト色を変えてあります、通常では赤や青色に変わりません。
表2
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion] "OPQFile"="C:\\WINDOWS\\SYSTEM\\radF7017.tmp" ↑これも書き換えられたところ |
表3
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "OPQFile"="C:\\WINDOWS\\regedit.exe /s C:\\WINDOWS\\SYSTEM\\radF7017.tmp" ↑これが致命的でした、起動する度に radF7017.tmpを読み込んでレジストリエディタを起動してセーブする ように書き換えられていました。 |
WEBトラップにやられたと思ったら日時を思い出す事
レジストリファイルをチェックする
Windosフォルダ内のREGEDIT.EXE→編集→検索 書き変わったURLの一部分を入力してみる
検索結果が出たら値を削除する。
¥WINDOWS¥SYSTEMフォルダ内にトラップに掛かった日時に出来たと思われるファイルが無いか確認する
怪しいファイル中身が表1のようにページ書き換えならファイルを削除して下さい。
怪しいファイルの名前が判ればWindosフォルダ内のREGEDIT.EXE→編集→検索
怪しいファイル名を入力してみる、再度検索してみる表2.3の様に出てきたら
値を削除して下さい。 ファイル名はradF7017.tmpとは限りません****.***や*****.DLLの時もあります
必ず内容を確かめて下さい。
レジストリ編集は間違うとシステム自体が起動しなくなるので注意して下さい
はっきりした操作方法が判らないときは自分で操作しないでパソコンに詳しい人に
編集をお願いしましょう。
|
レジストリを復元するには [スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックします。 [名前] に「scanregw /restore」と入力します。 [OK] をクリックします。 ダイアログ ボックスで、開いたアプリケーションをすべて閉じ、操作を続けるかどうかを選択します。 続ける場合は、[はい] をクリックします。 [システム レジストリの復元] ダイアログ ボックスの一覧から、復元するレジストリのバックアップをクリックします。 注 レジストリの復元によって、システム全体が前の状態に復元されるとは限りません。 システム全体を復元する場合に、システム リストアを使用することがあります。 レジストリのバックアップ一覧は、日付または時間順に並んでいます。
|
最後にインターネットエクスプローラーをお使いの方はツール→Windows Updateをクリックして最新の
バージョンもしくは修正プログラムをダウンロードして脆弱性を修正しましょう。
WEBトラップは新しいものが次々出てくる可能性があります、定期的に更新しましょう。
平成14年4月19日