2015年12月9日

株式会社Doctor Web Pacific

Appleユーザーを狙うウイルス開発者は年々増加の一途をたどっています。Mac OS Xを標的とする新たなマルウェアが頻繁に検出されているという事実がその証拠となっています。それらのプログラムの大半は迷惑な広告を表示、または様々なアプリケーションやユーティリティを密かにインストールすることを目的に設計されています。先頃Doctor Webセキュリティリサーチャーによって発見され Adware.Mac.Tuguu.1 と名付けられた悪意のあるプログラムもまた、そのようなプログラムの1つでした。

同種のプログラムの他の亜種と同様、 Adware.Mac.Tuguu.1 は様々な追加アプリケーション（通常は役に立たないアプリケーションですが、中には悪意のあるものもあります）をユーザーのMac上に密かにインストールします。それらアプリケーションがインストールされる度に、 Adware.Mac.Tuguu.1 の開発者が報酬を得るようになっています。

Adware.Mac.Tuguu.1 はMac OS X向けのフリープログラムを装って拡散されていました。この危険なアプリケーションは起動されると自身のセットアップファイルと同じフォルダ内にある「.payload」設定ファイルの中身を読み込み、C&Cサーバーのアドレスを検出して改変します。次に、ユーザーに対してインストールを促す追加プログラムのリストを取得するために、暗号化されたリクエストを用いてC&Cサーバーに接続します。サーバーからの応答も同様に暗号化され、ユーザーのMac上にインストールするアプリケーションを決定する複数のフィールドを含んでいます。インストーラによって使用される内部の数字から、プログラムは736個あると推測されます。全てのプログラムは、それぞれ条件によって決定された「レート」を持っています。すなわち、一度にインストールすることのできるアプリケーションの数に上限があるため、インストーラは特定のアルゴリズムを使用することで、許容される最大限の「レート」になるよう最適な互換性のあるソフトウェアのリストを作成しようとします。

Adware.Mac.Tuguu.1 はプログラムをインストールする前に、それらに互換性があるかどうかを確認します。例えば、MacKeeperアプリケーションと一緒にMacKeeper Groupedアプリケーションをインストールすることはありません。また、そのようなソフトウェアが既にMac上にインストールされていないかどうかについても確認を試みます。 Adware.Mac.Tuguu.1 はプログラムのインストールが完了したことを確認した後、動作を終了します。

Adware.Mac.Tuguu.1 のダイアログにはカスタムインストールモード（Custom Installation mode）があり、追加プログラムのインストールを拒否するためのチェックボックスが表示されています。そのため、この悪意のあるプログラムはトロイの木馬として分類されていません。しかし一方で、 Adware.Mac.Tuguu.1 はユーザーの不注意に付け込んで不要なソフトウェアをOS内にばら撒く機能を備えた典型的なアドウェアです。Dr.Web Anti-virus for Mac OS Xはこのプログラムを検出・削除することができるため、Dr.Webユーザーに危害が及ぶことはありません。