解析者: kathleenno   
 更新者 : Karl Dominguez
 プラットフォーム:

Mac OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。その理由として、ソーシャル・ネットワーキング・サービス「Facebook」に投稿されたリンクおよびSEOポイズニング(悪質なSEO対策)による攻撃を介して、このマルウェアが組み込まれている不正なWebサイトへとユーザを誘導する点が挙げられます。また、このマルウェアは、Mac OSユーザを標的とする偽セキュリティソフト型不正プログラム「FAKEAV」の亜種です。

マルウェアは、ユーザが誤ってFacebookに投稿された不正なリンクをクリックすることにより、コンピュータに侵入します。

マルウェアは、感染コンピュータのWebブラウザ上で、特定のGraphical User Interface(GUI)を表示します。

マルウェアは、コンピュータにインストールされると、偽のスキャン結果および偽の警告を表示し、ユーザにこの偽セキュリティソフトの登録を促します。

また、マルウェアは、感染コンピュータ上で規定のブラウザを開示し、成人向けコンテンツのWebサイトへアクセスします。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。 ユーザがソフトウェアの購入に同意すると、マルウェアは、特定のWebサイトにアクセスします。

  詳細

ファイルサイズ 5,722,900 bytes
タイプ Other
メモリ常駐 はい
発見日 2011年6月1日
ペイロード URLまたはIPアドレスに接続, 画像の表示

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}ngs.in/
  • http://{BLOCKED}es.in/
  • http://{BLOCKED}234.76/

インストール

マルウェアは、以下のファイルを作成します。

  • //Application/MacDefender.app/
  • //Application/MacDefender.app/Contents
  • //Application/MacDefender.app/Contents/Info.plist
  • //Application/MacDefender.app/Contents/MacOS
  • //Application/MacDefender.app/Contents/MacOS/MacDefender
  • //Application/MacDefender.app/Contents/PkgInfo
  • //Application/MacDefender.app/Contents/Resources/{resource files}
  • or
  • //Application/MacGuard.app/
  • //Application/MacGuard.app/Contents
  • //Application/MacGuard.app/Contents/Info.plist
  • //Application/MacGuard.app/Contents/MacOS
  • //Application/MacGuard.app/Contents/MacOS/MacGuard
  • //Application/MacGuard.app/Contents/PkgInfo
  • //Application/MacGuard.app/Contents/Resources/{resource files}

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

ユーザがソフトウェアの購入に同意すると、マルウェアは、購入手続きのために以下のWebサイトにアクセスします。

  • http://{BLOCKED}.217.79/mac.php

マルウェアは、「Facebook」にスパムメッセージとして投稿された不正なリンクを介して、コンピュータに侵入します。マルウェアは、感染コンピュータのWebブラウザ上で、以下のGraphical User Interface(GUI)を表示します。

ユーザが、GUI上のいずれかをクリックするか、このページを再読込みしようとすると、このマルウェアを再びダウンロードすることとなります。

マルウェアは、コンピュータにインストールされると、偽のスキャン結果を表示します。

マルウェアは、以下の偽の警告を表示し、ユーザにこの偽セキュリティソフトの登録を促します。

ユーザが、この偽セキュリティソフトの購入を同意すると、以下の画面が表示されます。

また、マルウェアは、感染コンピュータ上で規定のブラウザを開示し、成人向けコンテンツのWebサイトへアクセスします。

  • {BLOCKED}agra-now.net
  • {BLOCKED}h.com
  • {BLOCKED}mgalleries.com
  • {BLOCKED}y.com
  • {BLOCKED}rn.com
  • {BLOCKED}orn.com

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 8.198.03
初回 VSAPI パターンリリース日 2011年6月2日
VSAPI OPR パターンバージョン 8.199.00
VSAPI OPR パターンリリース日 2011年6月2日

  • メモリ上で実行されているマルウェアのプロセスを終了します。
    [アプリケーション]-[ユーティリティ]-[アクティビティモニタ]を開き、[プロセスを終了]のボタンを使用して "MacDefender" または "MacGuard" に関連するプロセスを終了します。
  • マルウェアのファイルを削除します。
    [アプリケーション]を開き、"MacDefender" または "MacGuard" をドラッグし、ゴミ箱に入れます。
    また、"MacDefender" または "MacGuard" 上で右クリックし、[ゴミ箱に入れる]を選択することで、削除することができます。
  • 自動起動設定を削除します。
    [システム環境設定]-[アカウント]-[ログイン項目]を開きます。
    "MacDefender" または "MacGuard" のチェックボックスをチェックして下さい。
    ボタンをクリックし、選択した項目を削除してください。
  • 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「OSX_DEFMA.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。


ご利用はいかがでしたか? アンケートにご協力ください

関連ブログ記事