HTA型ワンクリックウェア 防御方法

HTAを実行するmshta.exeの通信を遮断することによってワンクリックウェアの活動を防ぎます。
だた、悪意のない正規の目的での動作まで妨げてしまう弊害も発生しますが、最近ではHTA(HTML Applications)の利用も減っていることでしょう。
他に手っ取り早く「.hta」の関連付けを変更したり、「HTAStop」を利用して無効化する方法もあります。

一応、関連付けを変更するツールも公開しています。
宜しければご利用ください⇒HTA無効化ツール


注意

・全てのHTA型ワンクリックウェアを防げるわけではありません。
ダウンロード&実行したHTA自体にシステム改変を行うスクリプトが記述されている場合は、通信を遮断しても防ぐことはできません。
・駆除を行うものではありません。既にワンクリックウェアを実行してしまった場合、専用の駆除ツール等をご利用ください。



COMODO Firewall設定画面

日本語化はhttp://lwoaa.web.fc2.com/で公開されているものを使用させて頂いております。

COMODO Firewall(Internet Security)にはFirewall以外にDefence+というHIPSがあり、そちらの方がより強力に制御することが可能です。
一応、Firewall、Defence+両方とも設定方法を載せてありますが、何が違うかよくわからないのであれば後者をお勧めします。

Firewallの設定

[Firewall]タブ-[ネットワークセキュリティポリシー]-「追加」

CIS1

アプリケーションパスの「選択?」で「実行中のプロセス...」をクリックし、適当なものを選択する。
すると、アプリケーションパスのテキストボックスに入力可能となるので、「*.hta」と入力。
「●定義済みポリシーを使用する」-「Blocked Application」を選択し、「適用」、「OK」


Defence+(HIPS)の設定

※こちらで設定すればFirewallの設定は必要ありません。
HTAファイルへのアクセス自体を拒否するので、HTA型ワンクリックウェアは、ほぼ完全に防げます。

[Defence+]タブ-[コンピュータセキュリティポリシー]

[セキュリティポリシーのカスタマイズ]-[ブロックするファイル]タブ-「追加?」-[参照...]をクリック

「新しい項目を追加する」に「*.hta」と入力し、「+」ボタンをクリック。
右の「選択した項目」に追加されたのを確認し、「適用」をクリック。

上記ウィンドウが閉じ、[ブロックするファイル]に「*.hta」が追加されていると思うので、「OK」


ESET Smart Security設定画面

ウィンドウ左下の「表示:標準モード」の場合は、「変更」をクリックし詳細モードへ切り替える。
右上メニューから「設定▼」-「詳細設定」-「パーソナルファイアフォール」
[フィルタリングモード]を「例外付きの自動モード(ユーザー定義ルール)」を選択、[OK]。
再び、「詳細設定」-「パーソナルファイアフォール」-[ルールとゾーン]-[ゾーン/ルールエディタ]-「設定」をクリック。

ESET1

「ゾーンとルールの設定」ウィンドウが出てきたら、左下の「新規」をクリック。
名前は適当に「ワンクリブロック」とか。
[方向]-「外向き」
[アクション]-「遮断」
[プロトコル]-「TCP」

ESET2

「ローカルタブ」に切り替える。
[アプリケーション]で「参照」で「C:\Windows\System32\mshta.exe」を選択。
そして、「OK」。

ESET3

ウイルスバスター2010設定画面

ウィンドウ左側より「パーソナルファイアウォール」をクリック。
[設定...]をクリック。

VB1

「詳細設定」をクリック。

VB2

「プロファイルの詳細設定」ウィンドウで、「例外ルール(プログラム)」タブを選択。
「追加」をクリック。

VB3

[説明]-適当に「ワンクリブロック」とか入力。
[対象]-[指定のプログラム]を選択-「C:\Windows\System32\mshta.exe」を入力。
[設定]-「詳細設定」を選択。
([簡易設定]-「拒否」でも大丈夫でしょうが)
「追加」をクリック。

VB4

[方向]-「送信」
[処理]-「拒否」
[プロトコル]-「TCP」
そして「OK」

VB5

Windows ファイアウォール

スタートメニューから「すべてのプログラム」
「管理ツール」-[セキュリティが強化された Windows ファイアウォール]をクリック。

WF1

ウィンドウが開いたら、左ペインから「送信の規則」を選択。

WF2

右ペインから「新規の規則」をクリック。

WF3

ウィザードが出てきたら、[プログラム]が選択されているのを確認して、「次へ」

WF4

[このプログラムパス]に「%SystemRoot%\System32\mshta.exe」と入力。「次へ」

WF5

[接続をブロックする]を選択。

WF6

最後に「名前」「説明」を適当に入力して「完了」

WF7