ご存知の通り、OS Xを標的とした新たなマルウェアが発見されました。Integoはこのマルウェアを「OSX.RSPlug.A Trojan Horse(トロイの木馬)」と名付けました。このマルウェアはウイルスではなく、マシン間で自己増殖することはできない点にご注意ください。しかしながら、このマルウェアは紛れもなく悪意のあるものであり、巧妙に設計されたトロイの木馬のラッパーに包み込まれています。
最近、ブリトニー・スピアーズの、うーん、あまり魅力的ではない写真を探していたら、あなたのマシンが感染している可能性があります。探していたものが見つかったと思って動画をクリックして視聴しようとしたところ、必要なコーデックがマシンにインストールされていないというメッセージが表示されます。するとディスクイメージのダウンロードが始まり、(マシンの設定によっては)マウントされてインストーラーが起動し、管理者パスワードの入力を求められます。
ルール1: 信頼できないソースからのソフトウェアはインストールしないでください 。特に、インストーラーパッケージとして提供され、管理者パスワードを要求するソフトウェアはインストールしないでください。しかし、インストーラーを実行してしまうと、次のような事態が発生します。
www.apple.comブラウザのURL欄に「」と入力すると、そのサイト、そのサイトのフィッシングサイト「クローン」、あるいは全く別のサイト(例えばポルノサイト)に誘導される可能性があります。誘導先は、悪意のあるDNSサーバーの設定に大きく左右されます。例えば、ebay.comやpaypal.comのようなサイトの場合、深刻な事態を招く可能性があります。
これは本当にヤバい。本当に。今日のポルノサイトを狙っているとはいえ、このマルウェアは他の何にでも簡単に関連付けられる可能性がある。例えば、話題の動画サイトや、来たるスーパーボウルのCMを流すと謳うサイトなどだ。このマルウェアは他のサイトに拡散する可能性があるため、私たちはこのトロイの木馬(いえ、ソースサイトではありません!)を調査し、感染しているかどうかを確認する最良の方法と、もし感染していた場合の削除方法を特定した。
トロイの木馬の検出方法
このトロイの木馬が(少なくともOS X 10.4ユーザーにとって)厄介なのは、DNS情報が変更されたことを目に見える形で確認する方法がないことです。では、感染したかどうかはどうすればわかるのでしょうか?VirusBarrierユーザーで、定義ファイルを本日時点で最新の状態に更新していれば、VirusBarrierがこのトロイの木馬を検出し、削除してくれます。
OS X 10.5をお使いの場合は、システム環境設定の「ネットワーク」パネルを開き、アクティブなインターフェース(AirPort、Ethernet)を選択して「詳細」をクリックします。「詳細」画面で「DNS」タブをクリックします。左端のボックスにDNSサーバーが表示され、すべてのエントリが黒く表示されます。トロイの木馬がマシンにインストールされている場合は、右の図のように、通常のDNS情報の上に灰色で架空のDNSが表示されます。最初の2つのエントリが悪意のあるDNSで、最後のエントリが通常のDNSです。
注: DNS情報が灰色になる状況は他にもあります。例えば、DNSが別のマシンから提供されている場合、正規のDNS情報は黒ではなく灰色で表示されるようです。これは単なる兆候かもしれませんが、マシンが感染しているかどうかを確認する最善の方法については、読み進めてください。
感染しているかどうかを確認する最も簡単な方法は、最上位の/Library -> Internet Plug-Insフォルダに移動し、 plugins.settingsというファイルを探すことです 。もしそこにこのファイルが見つかったら、感染している可能性が高いです。ただし、マルウェア作成者が使用する名前は変更される可能性があるため、他の場所も確認することをお勧めします。
もう一つ確認すべき点は、ルートcronジョブの存在です。これを行うには、ターミナル(/Applications -> Utilities)を開き、次のコマンドを入力します。
sudo crontab -l
管理者パスワードを入力すると、ターミナルにrootのcronタスクが表示されます。通常は空白です。ただし、以下の出力が表示された場合は、マルウェアに感染している可能性があります。
* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
確実に確認したい場合は、 ターミナル( OS Xのシステムユーティリティ scutil である のインターフェース)で 実行できます。 と入力してReturnキーを押し、プロンプトにこのコマンドを入力し、さらにもう一度Returnキーを押します。 出力は以下のようになります。configdscutilshow State:/Network/Global/DNS
<辞書> { ServerAddresses : <配列> { 0 : 123.12.34.56 1 : 234.65.43.21 } } これらが、お使いのマシンが認識しているすべてのDNSサーバーです。( ターミナルexit を終了して scutil 戻るには、以下のコマンドを入力してください。)このリストを確認し、ネットワーク環境設定パネルに表示されるものと比較してください。念のため、2行の「DNSサーバー」ボックスをクリックして下矢印キーを使用してください。表示されているサーバーよりも多くのサーバーがリストされている場合に備え、2つのリストは同じであるはずです。GUI scutil には表示されないサーバーが出力に表示される場合は、トロイの木馬がインストールされている可能性があります。
トロイの木馬を削除する方法
感染してしまった場合、トロイの木馬を駆除する最も簡単な方法は何でしょうか?前述の通り、VirusBarrierを使えば最新のウイルス定義ファイルを使って駆除できます。もちろん、ご自身で駆除することも可能ですが、ターミナルで少し操作が必要になります。必要な手順は以下のとおりです。ちなみに、私は自分のマシンに感染させてテストしました(OS X 10.5で実行しましたが、OS X 10.4でも同様の動作をするはずです)。
sudo crontab -r 管理者パスワードを入力し、求められたら入力します。これにより、DNSサーバーの設定を確認するroot cronジョブが削除されます。 sudo crontab -l「crontab: no crontab for root」というメッセージが表示されるので、正常に実行されたことがわかります 。再起動後、トロイの木馬が駆除されていることを確認するには(OS X 10.5の場合)、システム環境設定の「ネットワーク」パネルの「詳細」パネルを開き、「DNS」タブを確認します。灰色のエントリは表示されません。Tigerでトロイの木馬が駆除されていることを本当に確認するには、 scutil 上記のコマンドを使用します。これが、お使いのマシンが認識しているすべてのDNSサーバーを確認する唯一の方法です。
いつものように、こうした事態を避ける最善の方法は、信頼できないソースからソフトウェアをインストールしないことです。特に、インストーラーパッケージとして提供され、管理者のパスワードを要求する場合は注意が必要です。万が一感染してしまった場合でも、少なくとも問題の有無を確認し、問題のあるソフトウェアを削除する方法が分かっているはずです。
[ 編集者注: この記事は、グレーの DNS エントリの他の原因と、マルウェアの存在を検出するためのより優れた方法を反映するように更新されました。 ]
[ 上級編集者 Rob Griffiths が、Mac OS X Hints ブログでハウツー情報を公開しています。 ]
