[サイバー攻撃大辞典 トップへ]

hta による不正プログラムの実行


スポンサー リンク

説明


hta とはダイナミック HTML の機能を使用して HTML アプリを実行する機能のこと。mshta.exe がこの機能のエンジン。
ファイルレスマルウェアのツールとして mshta.exe はよく使われる。


対策


(1)関連付けの解除
以下のコマンドで .hta が mshta.exe に関連付けされていることが分かる。

C:\>assoc .hta
.hta=htafile

C:\>ftype htafile
htafile=C:\Windows\SysWOW64\mshta.exe "%1" {<略称>」} %*


例えば以下のコマンドにより .hta を秀丸に関連付けすることにより、不正なプログラムが処理されない変更を行う。

C:\>assoc .hta=hidemaru.txt
.hta=hidemaru.txt


以下のコマンドは存在しないdummyというアプリを関連付けすることにより、.hta を実行しても何も処理されない変更を行う。

C:\>assoc .hta=dummy
.hta=hidemaru.txt



以下のレジストリキーで .hta の関連付けが行われているので害のないプログラムに変更する。

コンピューター\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hta


(2)ファイルのリネーム
推奨されないが mshta.exeの名前を変更してしまう方法もある。ファイルの所有者が「trustedinstaller」なので一度所有者を administrator に変更してから mshta.exe.org のような名前に変更する。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917