Lamiyi

特定の悪質なウェブサイトにアクセスすると、Flash Playerのダウンロードとインストールを促すリンクやアイコンが表示される場合があります。Mac OS X LionにはFlash Playerが搭載されていないため、一部のユーザーはこれを本物のインストールリンクだと勘違いしてしまう可能性があります。リンクをクリックするとインストールパッケージがダウンロードされ、Safariをウェブブラウザとして使用している場合にはMac OS Xインストーラが起動します。（Safariは、.pkgまたは.mpkg拡張子のインストーラパッケージを「安全な」ファイルと見なし、デフォルト設定であればダウンロード後に起動します。）

ユーザーがインストール手順を続行すると、このトロイの木馬のインストーラーは一部のネットワークセキュリティソフトウェアを無効化し、インストール後にインストールパッケージ自体を削除します。このマルウェアは、dyld（ダイナミックローダー）ライブラリと自動起動コードをインストールし、ユーザーが起動するアプリケーションにコードを挿入します。~/Library/Preferences/Preferences.dylib のファイルにインストールされたこのコードは、リモートサーバーに接続し、感染したMacに関する情報（コンピュータのMACアドレス、つまり一意の識別子を含む）をこのサーバーに送信します。これにより、マルウェアはMacが感染しているかどうかを検出できます。

現時点では、Integoはこのマルウェアとそのインストールプロセスを解析済みです。Integoのセキュリティ研究者は、挿入されたコードを解析しており、可能な限り早く詳細情報を公開する予定です。

保護策：ユーザーはadobe.com以外のサイトからFlash Playerインストーラーをダウンロードしないでください。Mac OS X LionにはFlash Playerは含まれていませんが、このソフトウェアをインストールしたいユーザーはAdobeのウェブサイトにアクセスしてください。

次に、ウェブブラウザとしてSafariをご利用の方は、プログラムの「一般」設定で「ダウンロード後に「安全な」ファイルを開く」のチェックを外すことをお勧めします。これにより、正規のインストーラーパッケージであれ悪意のあるインストーラーパッケージであれ、自動的に起動するのを防ぐことができます。

最後に、Flash Playerのインストーラーを装ったインストーラーが表示された場合、ユーザーは本当にAdobeのウェブサイトからダウンロードしたのかを慎重に確認する必要があります。そうでない場合は、インストーラーを終了してください。

VirusBarrier X6 は、2011 年 9 月 26 日以降のマルウェア定義を使用して、ユーザーをこのマルウェアから保護します。VirusBarrier X6 のリアルタイム スキャナは、ファイルがダウンロードされるとそれを検出し、アンチスパイウェア保護により、ユーザーがトロイの木馬をインストールしている場合はリモート サーバーへの接続をすべてブロックします。Mac App Store でのみ入手可能な VirusBarrier Express と VirusBarrier Plus は、2011 年 9 月 26 日以降のマルウェア定義を使用してこのマルウェアを検出しますが、これらのプログラムには、Mac App Store の制限によりリアルタイム スキャナが搭載されていません。そのため、ユーザーは最新のマルウェア定義にアップデートした後に Mac をスキャンするか、ダウンロードしたインストーラ パッケージが疑わしい場合は手動でスキャンする必要があります。

続きを読む