OS X用マルウェアインストーラーの巧妙化が更に進んでいるようです。詳細は以下から。

Real-Mac-Only-MPlayerX-Malware

 今年2月にマルウェアやアドウェア付きのインストーラーがWindowsからMacへと移植b.hatenaされてきていることが話題になりましたが、このマルウェアインストーラーが更に巧妙化し「実際のMacか仮想マシンかを判断しインストールするプロセスを変更している」とMacのセキュリティ情報を提供しているブログThe Safe Macが注意を呼びかけています。


Real or Virtual ?

 The Safe Macによると、このインストーラーが確認されたのはMac用動画アプリ「MPlayerX」のインストーラーで、「実際のコンピューター(Mac)にインストールしようとするとYahoo検索アドウェア、MacKeeper、ZipCloudマルウェアを同時にインストールし、Parallelsなどの仮想システムにインストールしようとすると、このプロセスをスキップし通常のMPlayerXのインストールだけが行われる」事を確認したそうです。

MPlayerXインストーラにようこそ
A new MPlayerX installer, this time available directly from the MPlayerX website, is exhibiting exactly this behavior. When run on a “real” computer, the installer goes through a “Configure” phase in which it offers a Yahoo Search extension (adware), a copy of MacKeeper and a copy of ZipCloud. This is not particularly new, and has been described here before, although never with an installer downloaded directly from the MPlayerX site.

When run in a virtual system in Parallels, however, this installer skips over the Configure phase entirely! No adware or third-party junk software is offered or installed. The end result is that it behaves exactly like one would expect a normal MPlayerX installer to work… it just installs MPlayerX.
[MPlayerX adware behaving like malware! - The Safe Mac]

実際に試してみた

 このインストールプロセスがどのバージョンから採用されたかは分かりませんが、現在のMPlayerX公式サイトで配布されているインストーラにはこの方式が採用されているそうなので、Parallels Desktopに構築してあるMacにインストールしてみました。

Parallels-Desktop-MplayerX-Malware-No-Add-1

 結果はThe Safe Macの指摘通り、マルウェアやアドウェアがインストールされること無くインストールプロセスが終了し、MPlayerXのみがインストールされました。

Parallels-Desktop-MplayerX-Malware-No-Add-2

 次に実際のMacBookでParallels Desktopに使用したインストーラーと全く同じものを使用しインストールを始めたところ、構成のステップで"MacKeeper is an essential tool for your Mac"というMacKeeperの使用許諾同意ウィンドウが起動し、これに同意しないとMPlayerXがインストール出来ない様になっていました。

MPlayerX-Installer-with-MacKeeper
By clicking "Accept", you agree to install MacKeeper ...

 実際のMacではMPlayerXのインストールが始まるまでにMacKeeper, ZipCloudの使用承諾同意書に同意させられ、

Real-Mac-MplayerX-Install-Process2

 インストールのステップではCDN"cdnus.mamamama2.com"から最新のMacKeeperとZipCloudがダウンロードされインストールされました。

MPlayerX-MacKeeper-and-ZipCloud-Install

 最終的にParallels Desktopに構築してあるMacと実際のMacとではインストールされるアプリに倍(33.93MBと60.25MB)程のサイズの違いがあり、実際のMacでこのインストーラーを使用するとMPlayerX以外の不要はアプリがインストールされていることが分かります。

MPlayerX-Virtual-and-Real-Mac

 このプロセスの変更は一見いい変更(MacKeeperやZipCloudがインストールされないので)かのように見えますが、The Safe MacのThomas Reedさんは「マルウェア研究者は多くのの場合仮想マシンにマルウェアをインストールし実行させます。これはマルウェアを隔離でき、システムを簡単に元の状態に戻すことができるからです」とコメントしており、これによりユーザーやセキュリティ研究家の目をごまかすためだと推測しているようで、既にこの事をAppleのセキュリティーチームに報告し、XProtectセキュリティをアップデートする様にアドバイスしたそうです。

A more common trick, though, is to simply act normal. Malware that detects that it is being run in a virtual machine, for example, will not display any malicious behaviors. This is done because malware researchers often run malware in a virtual machine, because this isolates the malware and makes it easy to store the system’s infected state for later reference or revert the system to a previous state.
[MPlayerX adware behaving like malware! - The Safe Mac]

関連リンク:
Adwareに感染したMacからAdwareと関連ファイルを検索&削除してくれるMac用アプリ「AdwareMedic」を使ってみたb.hatena
AV-TEST、Mac用 総合ウィルス対策アプリ10製品を比較したデータを公開。アプリによってはOS Xのパフォーマンスにも影響b.hatena
ノートン セキュリティ 優待版 1年版(旧版・3台版)
ノートン セキュリティ 優待版 1年版(旧版・3台版) [CD-ROM]
シマンテック

共有する
フォローする


トラックバックURL:http://trackback.blogsys.jp/livedoor/applechinfo/44706064
タグ :
マルウェア
Malware
MPlayerX
Mac
セキュリティ
ウィルス
Parallels
仮想環境
VM
OS-X-10.10.2