2014年4月28日

株式会社Doctor Web Pacific

迷惑な広告を表示させることで犯罪者が利益を得るよう設計されたマルウェアは広く拡散されていますが、その多くはWindowsユーザーを狙ったものでした。しかし、今回Doctor Webのセキュリティエキスパートによって分析された同種のマルウェアはMac OS Xを標的としたものでした。

SafariやGoogle Chromeブラウザウィンドウ上に迷惑な広告が表示されるというMac OS Xユーザーからの多くの苦情がApple公式フォーラムに投稿され、この問題は、特定のサイトを訪問した際にユーザーのシステム上にインストールされる悪意のあるプラグインが原因であることが判明しました。このプラグインは、コンピューター上で便利な機能を実行する正規アプリケーションと一緒に拡散されています。

そのようなプログラムの1つであるDownliteはポピュラーなtorrentトラッカーサイトから拡散されています。「Download」をクリックしたユーザーはアプリケーションをダウンロードするためのサイトへとリダレクトされます。その際、Mac OS XユーザーはDownliteのインストーラーであるStartDownload_oREeab.dmgファイルを受け取りますが、それ以外のOSを使用するユーザーは異なるリダレクト先へと飛ばされます。ファイルがダウンロードされるとDownlite.appのインストールが開始されます。

Dr.Web によってTrojan.Downlite.1として検出されるインストーラーによって、正規アプリケーションと複数のブラウザプラグインがインストールされ、その過程でユーザーはパスワードの入力を求められます。ユーザーが管理者権限を持っていた場合、アプリケーションはルートディレクトリ内にインストールされます。DlLite.appは、その動作にJavaを必要としますが、悪意のあるプラグインはObjective-Cで書かれ、ブラウザウィンドウが開かれると起動することができます。また同時に、Mozilla Firefox、Google Chrome、Safariをコントロールするよう設計されたアプリケーションdev.Jackもインストールされます。このアプリケーションはTrojan.Downlite.2としてDr.Webアンチウイルスソフトウェアに検出されます。

これらのプラグインはDownlite.appのほかにも、MacVideoTunes、MediaCenter_XBMC、Popcorn、VideoPlayer_MPlayerXなどのアプリケーションと一緒に拡散されています。そのうちの1つMoviePlayer（MacVideoTunes）では、ユーザーはインストールの最初のステップでデジタル署名の無いインストーラーを実行するよう要求されます。

次に、ユーザーはオプティマイザのインストールを勧められますが、その際、インストールに同意するチェックボックスのチェックを外すことが出来ないようになっています。

このインストーラーはTrojan.Vsearch.8としてDr.Webアンチウイルスソフトウェアに検出され、Trojan.Downlite.1と類似していますが、dev.Jackの代わりにtakeOverSearchAssetsMac.app（Trojan.Conduit.1）をインストールします。

上記すべてのケースにおいて、悪意のあるペイロードがVSearchAgent.app、VSearchLoader.bundle、VSearchPlugIn.bundle、libVSearchLoader.dylib、VSInstallerHelperファイルとしてインストールされています。その結果として、次のタイプの迷惑な広告がブラウザウィンドウ上に表示されます。

• 下線の引かれたキーワード。それらの文字にカーソルを置くとポップアップ広告が表示されます。
• 左下隅に表示される、「Hide Ad」ボタンの付いた小さなウィンドウ
• 検索エンジンの結果ページやポピュラーなサイト上に表示されるバナー

Doctor WebではMac OS Xのユーザーに対し、疑わしいサイトからアプリケーションをダウンロード・インストールしないよう、また、最新のアンチウイルスソフトウェアを使用するよう推奨しています。