WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。

～以下引用～

■WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。
http://anond.hatelabo.jp/20081213164147

最近PCの調子はどうですか？

すこぶる元気ですか？

ごにょごにょして手に入れたzipの中に入っているComicView.exeを実行してしまった人用に対応策を書かせてもらいます。たぶん優秀で善良なはてなの方たちには全く関係がないと思うけど、はてなに書けばGoogle先生も良く拾ってくれますからね。

まず最初に断っておくと、私はWindowsVistaを所持していないのでWindowsXP用の対応策になります。WindowsVistaでは同じように機能するのかも分かりません。

まず、実行した人には分かると思いますが何も起こりませんよね。

これで何も害がない実行ファイルだと思ってしまったらダメです。この時点であなたはウイルスの作者に利用されてしまっています。

ComicView.exeを実行すると「C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ」にこっそりとdcomcnfg.exeが生成されます。

生成されると書きましたが実際には、ComicView.exeと同じフォルダに入っているdata.datをリネームしているだけのようです。

スタートアップフォルダに生成されてしまったので、PCを起動するたびにdcomcnfg.exeが実行される素敵環境が整ってしまいました。

dcomcnfg.exeを調べてみるとWindows XP用機能のため、WindowsXPに元々用意されていることが分かると思います。

（参考:http://www.geekpage.jp/practical/winxp-tips/dcomcnfg.php]）

でもComicView.exeを実行して生成されたdcomcnfg.exeは、WindowsXPのものと名前が同じだけの全くの偽物です。

このスタートアップフォルダに生成されたdcomcnfg.exeを削除し、PCを再起動すれば安全な状態になります。

……

ここで終ってしまっては面白くないので、dcomcnfg.exe（2008/12/5版）の動きを見ていきたいと思います。

dcomcnfg.exeを起動すると、表面上は何も起こりませんがプロセスにdcomcnfg.exeが常駐します。

そして何秒か経つとWindows標準のブラウザであるInternetExplorerを３つほど起動させアダルトサイトを巡回し始めます。何秒間隔とか詳しいところは分かりませんが、アダルトサイト間の移動を自動で行っているようです。

この時点でもデスクトップ上には何も起こりません。ウインドウを表示させないようにしているのでしょう。

dcomcnfg.exeはアダルトサイトを巡回しているだけで実質上あまり負荷がかかりません。情報を流出させるキンタマウイルス等と比べて害がないです。

最近のハイパワーPCでごにょごにょしている人は全く気付かないかもしれないです。

ここで注目してほしいのですが、アダルトサイトを巡回するだけのウイルスなんて作成者に何の利益ももたらしません。アダルトサイトの管理者が激しく回るアクセスカウンタに興奮するくらいでしょう。

普通はそんなもの作りませんよね。

最近はアフィリエイトというものがあり、URLに情報を埋め込んでおけばアクセスさせるだけでもお金になるのです。

当たり前ですが、dcomcnfg.exeにもそういう機能が付いていました。

つまり感染者をアダルトサイトにアクセスさせて儲けているわけです。

感染者が気付かないままいつものようにPCを弄っているだけでdcomcnfg.exe作者は儲かります。推測ですが、働かなくても食うものには困らないくらい儲かっていることでしょう。

WinnyとかShareでごにょごにょしている（したことがある）人がこの世にいる限り儲かり続けます。

しかも感染のターゲットになるのは無料で著作物をダウンロードする人たちだけです。

ウイルスを作るのも悪いことですが、引っかかるやつも同等なのでウイルス作者もさぞ精神的に楽なことでしょう。

こういうお金を儲ける手段を思いつく人はつくづく頭が良いと思いますよ。

～引用ここまで～

記事をかぶせて。

置き換えで検知から逃れられるものかと思うと、
疑問は残ります。

しかし、対策不足や未対応の場合もあるので
ご自身で判断されるのが良いかと思います。