作成日：2004/03/13　更新日：2004/03/26

「DARK LOLITAS」、「ダークロリータ」とは何か？
ずばり、パソコン内にウィルスやスパイウェアを仕込まれるサイト(ページ)のことです。
そのページのタイトルが「DARK LOLITAS」となっているので、皆さんが「DARK LOLITAS」や「ダークロリータ」などと呼んでいるようです。
最近ではタグを貼ることのできる画像UpLoad掲示板などで、悪意ある投稿者がjpg画像をhtmlに工作したりして投稿しているようです。

Kiken URL Listの「UpLoader系の危険なURL」ページ にも載っていますが「DARK LOLITAS」「ダークロリータ」サイトを呼ぶURLは これだけの数があります。探せばもっと見つかるでしょう。
しかし、各UpLoader系の危険なURLのソースを調べてみると若干ながらそれぞれ微妙に違っているURLもあります。
最近では「LOLITAS」や「YOUNG GIRLS」というタイトルのものも増えているようです。

「DARK LOLITAS」「ダークロリータ」のURLを踏んだ画面はこんな感じです↓。(アダルト表現を含んでいます。）


画面上のエロ画像はリンクになっていてそれぞれ以下のURLを新窓表示します。
　http://www.lol.to/book.php?book=world
　http://gb.bbs.ws/book.php?book=xtrime
　http://duvx.com/book.php?book=touzokudan
　http://duvx.com/book.php?book=ackr　
　http://bbs.ws/bbs.php?bbs=branalol
　http://bbs.ws/bbs.php?bbs=problems
　http://www.otsos.ru/cgi-bin/gc3/in.cgi?baas844&1
　http://soundpage.by.ru/web/dosug/raznoe.html
　http://gb.bbs.ws/book.php?book=sdosug
　http://gb.bbs.ws/book.php?book=pop
　http://gb.bbs.ws/book.php?book=VIKTIION

とりわけ、http://gb.bbs.ws/book.php?book=xtrimeは以前、
http://bubalom.by.ru/luisa/gallery1.htmlで騒ぎになったことで知られていると思います。
これらのURL解説はURL Listページの解説を参考にしてください。

画面中央の「×」８個は
http://www.otsos.ru/cgi-bin/gc3/in.cgi?baas844&1にリンクしていますが表示する画像が404になっています。

その下の検索フォームは検索が出来るようです。
しかし、実際に適当な言葉で検索してみましたが、どうも怪しいサイトばかりHitするようです。

そこから下のリンクの表は２〜３個踏んでみましたがウィルス反応はありませんでした。

ウィンドウ画面を右クリックすると途端に
http://www.otsos.ru/cgi-bin/gc3/in.cgi?baas844&1を新窓表示します。

「DARK LOLITAS」「ダークロリータ」サイトから別のサイトに飛ばされることは無いです。
しかし、IFRAMEタグを使って呼び出すサイトがいくつか隠れており、その呼び出すサイトが問題。

IFRAMEタグを使って呼び出す問題のサイト
　１、http://x.full-tgp.net/?ms.com
　２、http://213.159.117.133/dl/ms.php

２のhttp://213.159.117.133/のURLを見てのとおり、
「DARK LOLITAS」「ダークロリータ」は出所はスパイウェア:CoolWebSearch系のURLのソースのコピペだと思われます。

１と２のURL解説も Kiken URL Listページ を参考にしてください。

「DARK LOLITAS」「ダークロリータ」サイトを踏んだ場合の症状は各自のセキュリティ環境により、全くの無害の場合もあれば、激しく有害の場合もあります。
以下は「２ちゃんねる」の鑑定スレでの有害だった人たちの症状をまとめてあります。

• ウィルス名:CHM_PSYME.V＋HTML_REDIR.A＋JAVA_BYTEVER.A＋TROJ_WINSHOW.E＋TROJ_DELF.AR＋TROJ_PORNDIAL.BP＋TROJ_SMALL.KR 検出。
  （ 私の場合、HTML_REDIR.A＋JAVA_BYTEVER.A＋JAVA_BYTEVER.A-1がよく検出され、URLによってJS_EXCEPTION.GENを検出。）
• デスクトップに「Free XXX」(金髪の女性のアイコン)というショートカットアイコンが出来る。
  リンク先は「C:\Program Files\WebSiteViewer\124848.exe」。

ショートカットをプロパティで見ると、リンク先のほかにコマンドが定義されている。
• デスクトップとウィンドウズのスタートボタンの画面に女の人のショートカットのアイコンが作成される。
  PCを起動するとエラーメッセージが多発したり、エロサイトが勝手に開いたり、メモリが重くなったりフリーズしたりする。
• ダイヤルアップらしきhardcore teen sexというアイコンがデスクトップに削除をしても現れる。
• 「Dialer」というウィンドウが開き、「Already running!」と表示される。
  「OK」を押すと一度は消えるが、時間が経つとまた出てくる。
• IEのスタートページがhttp://213.159.117.134/index.phpに固定される。
  http://213.159.117.134/index.phpを開くと「For Your Instant Access Please Click Yes」とメッセージが出る。
• レジストリで書き換えられているDefault_Page_URL、Local Page、Start Pageの値を修正してみたり、削除しても更新をすると元に戻ってしまう。
• 124848.dlr、124848.exeなどの怪しいファイルが出来る。
• 124848.exeはC直下にも作られている。
• 勝手にショートカットを作ったり再起動するとIEのウィンドウを20個開く。
• \Cに124839.exeというファイル（アイコンは外国の女性の顔）が出来る。
  削除しても一定時間後（結構長い間がある）にまた同じファイルができてしまう。
  また、そのファイルが復活すると同時に「Please select your country」という窓が表示され、プロセスを確認してみると、やはり124839.exeであった。
• 定期的に「Please select your country」というメッセージが出てCPUの使用率が極端に上がってしまう。
• 「Please select your country」というウィンドウが勝手に開き、閉じるを押しても消えない。しかもどんどん数が増えていく。
• ブラウザのアドレスの下にhttp://lop.com/なるツールバーが現れる。
  PC画面の下部にもhttp://lop.com/passthrough/newpass2.htmlという固定バナーみたいなのが現れて占領される。
• IEのメニューバーの下にadilt sites や online datingなどの項目がある見知らぬ新規バーが作られる。
• アドレスの下にSearch the webのタスクバーが出現した。
• ネットワークを立ち上げたら121485なるものが勝手にかかり、プラグインを経て変なページに繋がって「FreeXXX」とかいうexeが出来上がる。
• IEもMSNも正常に作動しなくなり、システム復元も正常に動かなくなる。
• スタートページが変わって、インタネットオプションからも直せません。
  デスクトップのアイコン消しても、これじゃアンインストールできないといわれたので、追加と削除のところ見ましたが特に不必要なものなさそうです。
  再起動しても起動した時点で英語のサイトに接続されてしまいます。
  テンプレとCWShredderをやっても効かないのですが、 （ホームページがtp://213.159.117.134/index.phpに書き換えられてしまう）。
  あと勝手にSEXXXXXというファイルをダウンロードしてくる。

今のところは、

1. CoolWebShredderを使っての駆除はあまり意味がない。
2. SyncroAdが213.159.117.134/index.php有力説。
   O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
   ほかにもランダムのものが大体現れる。
3. 下は213.159.117.134/index.phpにおいて大体セットで現れる。
   O4 - HKLM\..\Run: [DKTime] C:\WINNT\system32\dktime.exe
   O4 - HKCU\..\Run: [DKTime] C:\WINNT\system32\dktime.exe
   \dktimeは\systimeの可能性もある。
   ※O4 - HKLM\..\Run:とO4 - HKCU\..\Run:に現れるのが特徴。
4. O4 - HKCU\..\Run: [Uwcc] C:\WINDOWS\Application Data\cere.exe
   O4 - HKCU\..\RunServices: [Uwcc] C:\WINDOWS\Application Data\cere.exe
   というエントリがあって、なんか動作をおかしくしているらしい。

※とりあえずの対処方法

1. Windows SyncroAdがあれば「コントロールパネル」の「アプリケーションの追加と削除」から消去。
   「コントロールパネル」が開けない場合「スタート」→「ファイル名指定して実行」
   　「control appwiz.cpl」←これを入力して実行。
2. 「エロサイト見たら…助けて下さい！」のテンプレ(以下コピペ�@〜�F)を実行。
   1. IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→WEB設定のリセット
   2. IEの履歴削除→ツール→インターネットオプション→全般→インターネット一時ファイル→クッキーの削除＋ファイルの削除
   3. 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動
   4. 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→アプリケーションの追加と削除→OS再起動
      ※コントロールパネルからアンインストールしなければならない主なもの
      　CnsMin（Jwordとかで使われてるスパイウェア）
      　http://higaitaisaku.web.com/removecnsmin.html
      ※その他のコントロールパネルからアンインストールできる主なもの
      　http://higaitaisaku.com/uninstallinfo.html
      ※コントロールパネルからアンインストールしてはならないもの
      　Home Search Assistant、Shopping Wizard、Search Extender
      　という名前のものがコントロールパネルのアプリケーションにある場合。
   5. アンチウィルスソフトでウィルスを除去。
      アンチウィルスソフトを持っていない・サポート終了している場合はオンラインスキャンを必ず行なって除去する事。
      ※主なアンチウィルスソフトのサポート終了一覧
      • Symantec（Norton）
        　http://service1.symantec.com/SUPPORT/INTER/japanesecustserv.nsf/jdocid/20030919114134945?Open&src=&docid=20040206144851945&nsf=SUPPORT%5CINTER%5Cjapanesecustserv.nsf&view=jdocid&dtype=&prod=&ver=&osv=&osv_lvl=
      • TrendMicro（ウィルスバスター）
        　http://www.trendmicro.com/jp/support/old-versions/old-versions/products/vb.htm
      • TrendMicro　OnlineScan（駆除可能・英語）
        　http://housecall.trendmicro.com/
      • Panda Active Scan （駆除可能・日本語）
        　http://www.pandasoftware.com/activescan/jp/activescan_principal.htm
      • トレンドマイクロオンラインスキャン （手動駆除）
        　http://www.trendmicro.co.jp/hcall/index.asp
      • シマンテックセキュリティチェック （手動駆除）
        　http://security.symantec.com/sscv6/home.asp?productid=symhome&langid=jp&venid=sym&close_parent=true&bhcp=1
   6. ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
      　http://www.richardthelionhearted.com/?url=merijn.richardthelionhearted.com
   7. 定番スパイウェア除去ソフト、Ad-awareSEとSpybotS&Dを使って除去。
      • Ad-awareSE　http://lavasoft.element5.com/default.shtml.ja
      • Ad-awareSE日本語化パッチと簡単な解説　http://bdc.s15.xrea.com/
      • SpybotS&D　http://www.safer-networking.org/
      • Spybot1.3によるスパイウェアの除去方法　http://higaitaisaku.com/spybot2.html
3. 以下をHijackThisで以下が残っていたらFix
   O4 - HKLM\..\Run: [DKTime] C:\WINNT\system32\dktime.exe
   O4 - HKCU\..\Run: [DKTime] C:\WINNT\system32\dktime.exe
   DKTimeに変わる新しいエントリー？
   O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
   O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
   これでスタートページがhttp://213.159.117.134/index.phpに固定化されなくなる。
4. ブラウザのアドレスの下のhttp://lop.com/なるツールバーを消すには、
   http://higaitaisaku.com/removelop.html
   ↑のところに書いてあった↓このアンインストーラーを使用すると削除出来る。
   http://lop.com/new_uninstall.exe

※「DARK LOLITAS」「LOLITAS」系URLを踏んでスタートページがhttp://213.159.117.134/index.phpに固定された場合、
アダルトサイト被害対策の部屋サイトの対策ページ ← こちらをよく読んで実行してください。

私の環境(IE6最新バッチ、ウィルスバスター2005＋SPYBOT免疫＋SpywareBlaster)で踏んだ場合を書きます。

「DARK LOLITAS」のURL、例えば
http://qma2ch.hp.infoseek.co.jp/cgi-bin/img-box/img20040614030433.jpg
を踏むと、↓のウィンドウが開きます。


踏んだ直後、HDDがガリガリ言い出し、ウィルスが検出され始めます。


その直後、SPYBOTが反応します。もちろん、「はい」をクリックします。


途中、別窓で↓のリンク集のようなサイトが開きます。



その後、立て続けに↓の２つの警告窓が開きます。２つとも「 OK 」をクリックします。



その後にこれ↓が現れます。

↑
「 OK 」をクリックするとウィンドウがフリーズしました。
何もすることが出来ず、Ctrl＋Alt＋Del の強制終了で脱出しました。

その間、ウィルスは
HTML_REDIR.A が１つ、JAVA_BYTEVER.A が３つ、計４つを検出。


しかし、IE6最新バッチ、ウィルスバスター2005＋SPYBOT免疫＋SpywareBlaster　という私の環境では、
スタートページの変更や金髪の女性のアイコンが出来る、等といった挙動は見られませんでした。

ウィルス名:HTML_REDIR.A と JAVA_BYTEVER.A はセキュリティホールを狙ったウィルスのようですが、
定期的なWindowsUpdate、またはUpdateの自動更新で最新バッチを当てていれば塞ぐことができるようです。


WindowsUpdate をする。

各ウィルスの詳細は以下。（トレンドマイクロ社）
ウィルス名:HTML_REDIR.A
ウィルス名:JAVA_BYTEVER.A

アダルトサイト被害対策の部屋
SPYBOTを導入する。
SpywareBlasterを導入する。