2015年9月22日
株式会社Doctor Web Pacific
Doctor Webウイルスラボにて解析された Adware.Mac.WeDownload.1の検体はAdobe Flash Playerのディストリビューションパッケージを装い、"Developer ID Application: Simon Max (GW6F4C87KX)"というデジタル署名を持っていました。このダウンローダはファイルのダウンロードによって収益を上げるアフィリエイトプログラムから拡散されていました。
Adware.Mac.WeDownload.1は起動されるとユーザーに対して管理者権限を要求し、3台のC&Cサーバーに対して立て続けにリクエストを送信することで、アプリケーションメイン画面のデータを取得します。サーバーのアドレスはダウンローダのボディ内にハードコードされています。いずれのサーバーも応答しなかった場合、ダウンローダは動作を停止します。サーバーから応答を取得した場合、Adware.Mac.WeDownload.1はダウンローダの設定データをJSON(JavaScript Object Notation)フォーマットで含んだPOSTリクエストをC&Cサーバーに送信し、メイン画面のコンテンツを含んだHTMLページを受け取ります。ダウンローダは、以後のGETおよびPOSTリクエストに、特別なアルゴリズムに基づいて生成された現在時刻とデジタル署名を追加します。
適切なリクエストが送信されると、Adware.Mac.WeDownload.1はユーザーにインストールさせるアプリケーションのリストを受け取ります。このリストには望まないプログラムのみでなく、Program.Unwanted.MacKeeper、Mac.Trojan.Crossrider、Mac.Trojan.Genieo、Mac.BackDoor.OpinionSpy、Trojan.Conduitファミリーに属する様々なトロイの木馬、およびその他危険なアプリケーションなど、悪意のあるプログラムが含まれています。プログラムの種類や合計数は被害者の位置情報によって異なります。アプリケーションリストが空だった場合、ユーザーは元々ダウンロードしようとしていたアプリケーション以外のインストールを促されることはありません。
Doctor WebではMacユーザーに対し、信頼できるソースからのみアプリケーションをダウンロードするよう推奨しています。Adware.Mac.WeDownload.1のシグネチャは既にDr.Web for Mac OS Xのウイルスデータベースに追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments