Lamiyi

管理者パスワードのインストールを必要としない Mac Defender の新しい亜種が発見されました。

Integoは、偽アンチウイルスソフト「MAC Defender」を初めて発見しました。このソフトは、SEOポイズニング攻撃（検索エンジン最適化のトリックを悪用し、悪意のあるサイトを検索結果の上位に表示させるように設定されたウェブサイト）を介してMacユーザーを標的としています。その後、MacDefender、MacProtector、MacSecurityといった複数の亜種が登場しましたが、これらはすべて同じアプリケーションですが、名前は異なります。この偽アンチウイルスソフトの目的は、Mac上の感染ファイルを駆除すると謳って、ユーザーを騙し、クレジットカード番号を入力させることです。

Integoは本日、このマルウェアの新たな亜種を発見しました。この亜種は若干異なる動作をします。この亜種は2つの部分から構成されています。1つ目はダウンローダーで、インストール後にWebサーバからペイロードをダウンロードするツールです。Mac Defenderマルウェアの亜種と同様に、このインストールパッケージ「avSetup.pkg」は、ユーザーが特別に細工されたWebサイトにアクセスすると自動的にダウンロードされます。

Safari の「ダウンロード後に安全なファイルを開く」オプションにチェックが入っている場合、パッケージは Apple のインストーラを起動し、標準のインストール画面が表示されます。チェックが入っていない場合、ダウンロードした ZIP アーカイブを好奇心からダブルクリックし、ダウンロード内容を覚えていないままインストールパッケージをダブルクリックしてしまう可能性があります。いずれの場合も、Mac OS X インストーラが起動します。

この偽アンチウイルスの以前の亜種とは異なり、このプログラムのインストールには管理者パスワードは必要ありません。管理者アカウントを持つユーザー（Macにユーザーが1人しかいない場合はデフォルト）は誰でもアプリケーションフォルダにソフトウェアをインストールできるため、パスワードは不要です。このパッケージは、avRunnerという名前のアプリケーション（ダウンローダー）をインストールし、自動的に起動します。同時に、インストールパッケージはユーザーのMacから自動的に削除されるため、元のインストーラの痕跡は残りません。

Apple はマルウェアの削除方法に関する手順を公開し、Mac OS X をアップデートしてマルウェアを自動的に検出し削除することを近々予定していると約束している。

続きを読む