2015年5月18日

株式会社Doctor Web Pacific

疑わしいアプリケーションやブラウザプラグインを密かにインストールしたり、またはユーザーの気づかないうちにダウンロードするよう誘導する悪意のあるプログラムの存在はDoctor Web セキュリティリサーチャーにとって目新しいものではなく、最近では主にMicrosoft Windows を標的としたそのようなソフトウェアの拡散が多く確認されています。しかし、今回新たに発見されAdware.Mac.InstallCore.1としてDr.Webウイルスデータベースに追加されたプログラムはMac OS X を標的としたものでした。

この望まないアプリケーションAdware.Mac.InstallCore.1は3つの主なフォルダ（bin、MacOS、Resources）を含むインストーラです。1つ目のフォルダにはアンチウイルスによってTool.Mac.ExtInstallerとして検出されるアプリケーションが含まれています。このアプリケーションはブラウザのアドインをインストールし、デフォルトのホームページまたは検索エンジンを変更します。MacOSフォルダにはインストーラのバイナリファイルが、ResourcesファイルにはSDKの主要な部分がJavaScriptとして含まれています。これらのスクリプトはAESアルゴリズムを用いて暗号化されている場合があります。

中でも特にSDKファイルには、ダウンロードするアプリケーションに関する情報を持った特別なセクションのある設定ファイルconfig.jsが含まれています。このセクションに含まれる情報は、システム上にインストールさせるアプリケーションの数、ユーザーによる追加のプログラムインストールを妨げるプログラムや仮想マシン、インストールさせるコンポーネントに関するものです。プログラムの動作には、この設定ファイルのほかに、ローカル設定ファイル内で指定されたアドレスのリモートサーバーから受け取ったまた別の設定ファイルが使用されます。ネットワークからダウンロードされたデータはXORアルゴリズムを用いて暗号化され、GZIPを用いて圧縮されています。復号化されたファイルにはインターフェースを正常に表示させるために必要な様々なデータや言語パラメータが含まれています。

scripts.jsファイルはシステム上にある仮想マシンや既にインストールされているアプリケーションの存在を確認します。OSがVirtualBox、VMWare Fusion、Parallels上で動作していた場合、またはシステム上で開発環境XCodeやデバッグソフトCharlesが検出された場合はユーザーに対して追加のプログラムをインストールするよう勧めることはありません。また、AVG、Avast、BitDefender、Comodo、ESET、Kaspersky、Sophos、Symantec、Intego、ClamAV、F-Secureのうちいずれかのアンチウイルスが検出された場合も、インストールを勧めてこない場合があります。Adware.Mac.InstallCore.1のブラックリストにはその他にもいくつかのアプリケーションが含まれています。

以下のリストは、Adware.Mac.InstallCore.1がシステム上にインストールすることのできるプログラムやユーティリティの一部です：

• Yahoo Search
• MacKeeper (Program.Unwanted.MacKeeper)
• ZipCloud
• WalletBee
• MacBooster 2
• PremierOpinion (Mac.BackDoor.OpinionSpy)
• RealCloud
• MaxSecure
• iBoostUp
• ElmediaPlayer

Dr.Web for Mac OS XのウイルスデータベースにはAdware.Mac.InstallCore.1のシグネチャが既に追加されているため、Dr.Webユーザーに危害が及ぶことはありません。