マルウェアの駆除 (adisp88315.exe)

adisp88315_01

アダルト広告&請求督促が表示されて困っているということで PC が持ち込まれました。見たところ、よくあるアダルトサイトの請求督促を表示するマルウェアのようです。余談ですが、最近ではマルウェアのことを「ワンクリウェア」とも言うそうです。

OS は Windows Vista Home Premium SP1 です。まず現象をチェック。以下のような「有料サイトにご登録ありがとうございました。」うんぬんというウィンドウが表示されます。関係無いですがそそりますねー。チラリズムというか着エロというか…。医療属性の趣味は無いですが。

まずは常套手段として、msconfig を実行してスタートアップをチェック。見慣れない項目(スタートアップ項目、製造元)が無いかどうか、C:\Program Files\ や C:\WINDOWS\ 以下以外の実行ファイルが指定されていないかどうか、などを基準にチェックすると…adisp というそれっぽい項目がありました。場所は HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run で、コマンド(実行ファイル)は C:\Users\username\AppData\Roaming\adisp\adisp88315.exe です。これは怪しい。

タスクマネージャーでプロセスを確認します…ありました。adisp88315.exe というプロセスが動いています。とりあえず強制終了させます。

強制終了させた後、広告が表示されなくなったかを確認します。また、タスクマネージャーを確認して、再度同様のプロセスが起動していないかも確認します。しつこいヤツだと自動起動させるプロセスを別に(しかも巧妙な名前で)持っている場合があったりします。今回は大丈夫そう。ということでこの adisp88315.exe で確定です。各ドライブのルートに Autorun.inf などなどが無いかどうかもついでにチェックしておきます。 ((ファイルエクスプローラーでドライブを開いた際に実行させるという手もよくあるからです。))

レジストリエディタを起動して、先ほど msconfig で確認したキーにある当該の値をチェックすると…ありました。ここで起動してるようです。データ(実行ファイルへのパス)を確認した上で、adisp88315 という値ごと削除します。

これが実行ファイルのパス。

ついでに、HKEY_CURRENT_USER\Software\adisp というキーも削除します。上記を対策すれば影響は無いのですが、念のため。

あとは実際の実行ファイルの削除です。先ほどレジストリから削除した値のデータに記述されていた実行ファイルへのパスを頼りに、実行ファイルがあるフォルダを開きます…ありました。adisp というフォルダの中に実行ファイル adisp88315.exe があります。adisp フォルダごと削除します。

実行ファイルなのでプリフェッチされている可能性があります。%windir%\Prefetch 内をチェックして、ADSIP88315 で始まるファイル名があれば削除します。

このマルウェア、そもそもは http://88315.jp おもちゃの王国 というサイトにある偽装されたムービーから感染するようです。拡張子が .exe なので偽装ってほどでもないですが…拡張子を表示しない設定にしている人には十分偽装になるのだと思います。IE のキャッシュにそれらしきものがあったので、それも削除しておきました。

余談ですが、以前も adisp.exe という名前のマルウェアを除去した記憶があったので WWW で調べてみたところ、この adisp88315.exe は亜種のようです。

以上で再起動して、広告が表示されないことと、プロセス内に adisp88315.exe が無いことを確認して完了です。

今回のお客様もそうだったのですが、ウィルスやマルウェアに感染して PC をお持ち込みになるお客様の大半は、セキュリティ対策ソフトの更新が切れた状態で PC を使っています。セキュリティ対策ソフトで感染を 100% 防げるわけではありませんが、更新切れのままだと感染する確立が上がるのは自明の理です。レスキュー作業に費用を掛けるよりも、事前の対策に費用を掛けたほうが効率も良いはず。今回のお客様にも、

  • 拡張子は表示する設定にしておくことが望ましい
  • インターネット上から取得した実行ファイルには十分注意する
  • セキュリティ対策ソフトの更新を必ず行なうように

とレクチャーして一件落着です。セキュリティ対策はしっかりしましょう&最低限の知識は身に付けましょう、ということで…。

スポンサーリンク
レクタングル(大)
レクタングル(大)