富士通LIFEBOOK AH550/5A 架空請求サイトが表示されるのを解決する

(公開:2011/3/15)

岐阜県大垣市の方からの持込み修理依頼。
「windowsを起動するたびに、”アダルトサイトにご入会ありがとうございます”という架空請求サイトの画面が、ウインドウを何度閉じても表示されるので、これを駆除してほしい」というご依頼。
まず、持ち込まれたパソコンを操作してみる。表示が煩わしいことを除いては、PCを使って作業をするには、そんなに支障がなさそうである。比較的被害は軽そうに見えるが、油断はできない。

HDDを取り外し、それを別のPCに接続してウイルススキャンをかけてみたが、ウイルスは検出されなかった。スパイウエア検出ソフトに通してみたけれども、異常は検出されなかった。

次に、スタートアップの登録内容を調べてみる。疑わしい項目を発見! 「C:¥windows¥system32¥mshta http://~」が実行されるようになっていた。早速、この項目を無効にして再起動させる。先ほどの架空請求サイトの表示は出なくなったので、先程のスタートアップの登録を削除した。(なお、これらの操作は、windowsの「システム構成ユーティリティ(msconfig.exe)」や、「スタートアップ・チェッカー(空の牙)」などで行える。)

mshta.exeという実行ファイルは、もともとは、マイクロソフトが広告を表示するときに使うウインドウズのプログラムで、改ざんされていない限りそれ自身は無害なものである。ただ、この実行ファイルを介して架空請求サイトにアクセスするようwindowsの設定を変えてしまうマルウェアが少なからず存在する。今回はその一例ということになる。

このパソコンは、セキュリティーソフトの使用期限が切れている状態で使っていたとの事。お客様は、これを機会にセキュリティーソフトをインストールすると仰っていた。