サイトマップ

マルウェア関連のトピックス

HTASPLOITの除去と予防 − かなり危険なスパイウェアです。感染してなくても予防を強く推奨

HTASPLOITとは2003年7月に発見された新しいスパイウェアです。これはMicrosoftの純正アプリケーションである「MSHTA.exe」を悪用して任意のHTA(HTML Applications)スクリプトを実行させるものです。この任意のHTAスクリプトが実行される問題は、IEの大きなセキュリティホールですので極めて危険な変種が出現する可能性をはらんでいます。

非常に簡単に言うと、「HTAスクリプトを使うと、セキュリティの設定やゾーンの設定にかかわらず任意のActiveXやVBS、Java Scriptを自在に実行可能」であり、「Administrator以上の権限を持つスパイウェア」であるというものです。しかも、Microsoft純正の機能を使ってです。2003年10月、ついにMicrosoftが重い腰を上げてセキュリティパッチを発表しました。が、しばらくはSpywareInfoの指摘にもかかわらず中々対応してくれませんでした。

大元のTonyKleinのコメントがこれです。

ここでは例によって「とりあえずどうするか」を中心に書きます。まず予防方法、次に除去方法です。

また、上に書いたようにこのHTAスクリプトが実行される問題は、かなり危険なセキュリティホールなので、今現在何の問題もない方でもWindowsUpdateを行ってHTAを停止しておくことをお薦めします。万一必要な場合でもすぐに元の状態にもどせますので。

まずWindowsUpdateでHTA Scriptの実行を止める − HTASPLOITの予防

ついにWindowsUpdateでこのセキュリティーホールを塞ぐことができるようになりました。WindowsUpdateで「重要な更新」をインストールすることでHTAスクリプトの実行を止めることができます。念のために「WindowsUpdateとは?」も含めて解説ページを作りましたので興味あるかたはどうぞ。

「俺はマメにやってるから大丈夫」という方も、この際念のためチェックして見て下さい。
ちなみに上のリンクに出てくる画面が、実際にHTAを止めるセキュリティパッチをインストールしたときのものです。

HTASPLOITの動き

削除方法について触れる前に、これがどういう順番にインストールされて行くかについて簡単に書いておきます。HTAスクリプトが実行されたかどうか、つまり自動起動されているのがwinlog.htmlなのかwinmain.exeなのかで対処法が変わってきます。もっとも、「大元がどこからどのようにして仕込まれるのか」ということについては今のところ不明です。最初にリンクを貼ったTonyKleinによると、最初に発見されたのはフリーウェアやシェアウェアの中だそうですが。

  1. 何らかの方法で、winlog.htmlというHTMLファイルを仕込まれる。場所はCドライブの直下、C:\winlog.html (変種が出る可能性あり)
  2. このwinlog.htmlが何らかの方法で自動起動され、その中に含まれるHTAスクリプトが実行される
  3. その結果、全てのセキュリティ設定を無視してwinmain.exeがダウンロードされ、HKLMのRunにエントリが作られて自動起動する様になる
  4. winlog.html自身は、winmain.exeを仕込んだ後自動起動エントリからは削除される
  5. このwinmain.exeの内容の詳細については不明だが、一旦exeファイルが仕込まれてしまうと、ほぼどんなことでも可能である

ということになります。最初にHTMLにHTAが仕込まれているのが嫌らしいところです。NIS(Norton Internet Securities)などを入れていて、悪質なスクリプトの実行を検出する設定になっていると2の時点で警告を出して来ます。「winloghtmlのスクリプトを検出しました。スクリプトを停止しますか?」などというものです。

winloghtmlによって「winmain.exe」が仕込まれると、HijackThisのログにはこんなエントリが現れます

O4 - HKLM\..\Run: [winmain] winmain.exe

何が原因で、あるいはどこで感染したか等、何でも情報があれば掲示板の方にお寄せ下さい。また、winlog.htmlおよびwinmainxexeのファイルも実際に見てみたいと思っています。幸か不幸か感染された方は、この二つのファイルを掲示板に添付していただけると大変嬉しいです。

HTASPLOITの除去方法

winmain.exeが発見された場合、それ自身の削除は非常に簡単です。HijackThis以外のウィンドウを全て閉じた後、

O4 - HKLM\..\Run: [winmain] winmain.exe

のエントリをHijackThisから削除し、PCを再起動してから「C:\Windows\winmain.exe」を削除するだけです。おそらく隠しファイルになっているので見つからない場合はこちらを

ただ、多くの場合他のスパイウェアをインストールされていたり、あちこち不具合が出ているでしょうからチェックが必要です。宣伝用のアプリケーションをダウンロードしてポップアップを出したり、IEのホームページを書き換えたり、他にも例えばファイルの関連づけが変わってたり、セキュリティレベルがいじくられた例が報告されています。

2の時点で発見された場合については、今のところその状態でのHijackThisのログが無いのではっきりしたことが言えません。ですが、どちらにしてもO4の自動起動のところに「C:\winlog.html」が現れるはずで、それをHijackThisから削除後PCを再起動して、「C:\winlog.html」の本体削除という手順になります。もしこの状態を経験された方はHijackThisのログを掲示板に貼って頂けると嬉しいです。ついでにwinlog.htmlのファイルも欲しいです。

謝辞

この件に関しては、「オンラインソフト学習塾」のサイト主であり、僕のサイトの掲示板の主要回答者としてもおなじみのheto2さんが、通りがかりさんと協力して解明されました。
heto2さんが作られた詳しい解説ページが下記です。併せてごらんになることをお薦めします。


【文頭に戻る】