Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Mac OS Xのユーザーを標的とする望まないアプリケーションのインストーラ

2015年5月18日

株式会社Doctor Web Pacific


疑わしいアプリケーションやブラウザプラグインを密かにインストールしたり、またはユーザーの気づかないうちにダウンロードするよう誘導する悪意のあるプログラムの存在はDoctor Web セキュリティリサーチャーにとって目新しいものではなく、最近では主にMicrosoft Windows を標的としたそのようなソフトウェアの拡散が多く確認されています。しかし、今回新たに発見されAdware.Mac.InstallCore.1としてDr.Webウイルスデータベースに追加されたプログラムはMac OS X を標的としたものでした。

この望まないアプリケーションAdware.Mac.InstallCore.1は3つの主なフォルダ(binMacOSResources)を含むインストーラです。1つ目のフォルダにはアンチウイルスによってTool.Mac.ExtInstallerとして検出されるアプリケーションが含まれています。このアプリケーションはブラウザのアドインをインストールし、デフォルトのホームページまたは検索エンジンを変更します。MacOSフォルダにはインストーラのバイナリファイルが、ResourcesファイルにはSDKの主要な部分がJavaScriptとして含まれています。これらのスクリプトはAESアルゴリズムを用いて暗号化されている場合があります。

中でも特にSDKファイルには、ダウンロードするアプリケーションに関する情報を持った特別なセクションのある設定ファイルconfig.jsが含まれています。このセクションに含まれる情報は、システム上にインストールさせるアプリケーションの数、ユーザーによる追加のプログラムインストールを妨げるプログラムや仮想マシン、インストールさせるコンポーネントに関するものです。プログラムの動作には、この設定ファイルのほかに、ローカル設定ファイル内で指定されたアドレスのリモートサーバーから受け取ったまた別の設定ファイルが使用されます。ネットワークからダウンロードされたデータはXORアルゴリズムを用いて暗号化され、GZIPを用いて圧縮されています。復号化されたファイルにはインターフェースを正常に表示させるために必要な様々なデータや言語パラメータが含まれています。

screen

screen

scripts.jsファイルはシステム上にある仮想マシンや既にインストールされているアプリケーションの存在を確認します。OSがVirtualBox、VMWare Fusion、Parallels上で動作していた場合、またはシステム上で開発環境XCodeやデバッグソフトCharlesが検出された場合はユーザーに対して追加のプログラムをインストールするよう勧めることはありません。また、AVG、Avast、BitDefender、Comodo、ESET、Kaspersky、Sophos、Symantec、Intego、ClamAV、F-Secureのうちいずれかのアンチウイルスが検出された場合も、インストールを勧めてこない場合があります。Adware.Mac.InstallCore.1のブラックリストにはその他にもいくつかのアプリケーションが含まれています。

以下のリストは、Adware.Mac.InstallCore.1がシステム上にインストールすることのできるプログラムやユーティリティの一部です:

  • Yahoo Search
  • MacKeeper (Program.Unwanted.MacKeeper)
  • ZipCloud
  • WalletBee
  • MacBooster 2
  • PremierOpinion (Mac.BackDoor.OpinionSpy)
  • RealCloud
  • MaxSecure
  • iBoostUp
  • ElmediaPlayer

Dr.Web for Mac OS XのウイルスデータベースにはAdware.Mac.InstallCore.1のシグネチャが既に追加されているため、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F