Lamiyi

本日公開された Intego セキュリティアラートでは、ローカル DNS 設定を変更しようとするトロイの木馬に関する詳細が明らかになりました。

-----
エクスプロイト: OSX.RSPlug.A トロイの木馬

発見日: 2007年10月30日

リスク: 重大

説明: 複数のポルノウェブサイトで、悪質なトロイの木馬が発見されました。このトロイの木馬は、Macで無料ポルノ動画を視聴するために必要なビデオコーデックをインストールすると主張しています。多くのMacフォーラムには、ユーザーをこれらのサイトに誘導するためのスパムが大量に投稿されています。ユーザーがこれらのウェブサイトにアクセスすると、評判の良いポルノ動画の静止画が表示されます。動画を視聴できると思い、静止画をクリックすると、次のような内容のウェブページが表示されます。

QuickTime Playerでムービーファイルを再生できません。
新しいバージョンのコーデックをダウンロードするには、こちらをクリックしてください。

ページが読み込まれると、ディスクイメージ（.dmg）ファイルがユーザーのMacに自動的にダウンロードされます。Safariの環境設定「一般」で「ダウンロード後に安全なファイルを開く」（または他のブラウザの同様の設定）にチェックが入っている場合は、ディスクイメージがマウントされ、それに含まれるインストーラパッケージがインストーラを起動します。チェックが入っていない場合、このコーデックをインストールするには、ディスクイメージをダブルクリックしてマウントし、install.pkgというパッケージファイルをダブルクリックします。

ユーザーがインストールを続行すると、トロイの木馬がインストールされます。インストールには管理者パスワードが必要で、これによりトロイの木馬は完全なルート権限を取得します。ビデオコーデックはインストールされず、ユーザーがウェブサイトに戻っても同じページが表示され、新しいダウンロードファイルを受け取ることになります。

DNSChangerの一種であるこのトロイの木馬は、scutilコマンドを介して高度な手法でMacのDNSサーバー（ウェブサイトやその他のインターネットサービスのドメイン名とIPアドレスの対応関係を調べるために使用されるサーバー）を変更します。この悪意のある新しいDNSサーバーがアクティブになると、一部のウェブリクエストを乗っ取り、ユーザーをフィッシングサイト（eBay、PayPal、一部の銀行などのサイト）に誘導したり、単に他のポルノサイトの広告を表示するウェブページに誘導したりします。前者の場合、ユーザーは正規のサイトだと思ってユーザー名とパスワード、クレジットカード番号、または口座番号を入力すると、その情報が乗っ取られます。後者の場合、これは広告収入を得るためだけに行われているようです。

Mac OS X 10.4では、変更されたDNSサーバをオペレーティングシステムのGUIで確認することはできません。Mac OS X 10.5では、「ネットワーク」環境設定の「詳細」タブで確認できます。追加されたDNSサーバはグレー表示になり、手動で削除することはできません。（Integoは現在、以前のバージョンのMac OS Xをテスト中です。すべてのバージョンのMac OS Xにscutilコマンドが搭載されているため、以前のバージョンも感染する可能性があります。）

トロイの木馬は、DNSサーバーがアクティブであるかどうかを1分ごとに確認するルートcrontabもインストールします。ネットワーク上の場所を変更するとDNSサーバーも変更される可能性があるため、このcronジョブは、そのような場合でも悪意のあるDNSサーバーがアクティブサーバーとして維持されるようにします。

このトロイの木馬は、ユーザーの所在国に応じて異なるバージョンも提供しており、おそらく国特有の偽装を行うためでしょう。ディスクイメージを繰り返しダウンロードすると、複数の異なるバージョンが存在することがわかります。

防御策：この脆弱性攻撃から身を守る最善の方法は、2007年10月31日付けのウイルス定義を適用したIntego VirusBarrier X4を実行することです。Intego VirusBarrier X4は悪意のあるコードを駆除し、トロイの木馬のインストールを防止します。Integoは、信頼できないソースや疑わしいウェブサイトからソフトウェアをダウンロードしてインストールしないよう推奨しています。
-----