INTEGOセキュリティ・メモ - 2007年10月31日
OSX.RSPlug.A Trojan Horse(トロイの木馬)が
悪意あるDNSセーバへ転送するためにローカルDNS設定を変更

 

脅威:OSX.RSPlug.A Trojan Horse

発見日:2007年10月30日

危険性:非常に危険

解説:

いくつかのポルノサイトにおいて、Mac上で無料のポルノビデオを見るために必要なビデオコーデックをインストールするとする、悪意のあるトロイの木馬が見つかりました。現在、ユーザをこれらのサイトへ誘導するために大量のスパムがあちこちのMacフォーラムに投稿されています。ユーザがこうしたサイトの一つを開くと、「噂」のポルノビデオの静止画像が表示されます。ビデオが再生されると思って静止画像をクリックすると、別のウェブページが開き、次のように表示されます:

Quicktime Player is unable to play movie file.
Please click here to download new version of codec.

ページが読み込まれると、ユーザのMacへディスクイメージ(.dmg)ファイルが自動でダウンロードされます(表示されたテキスト内のリンクをクリックしてもダウンロードが始まります)。ユーザが、Safariの一般環境設定で「ダウンロード後、“安全な”ファイルを開く」をチェックしていると(あるいは他のブラウザの場合でも同様の設定を行っていると)、そのディスクイメージがマウントされ、その中のインストーラパッケージがインストーラを起動します。インストーラが自動起動しなくても、ユーザがこのコーデックをインストールしようと思えば、ディスクイメージをダブルクリックしてマウントし、install.pkgという名称のパッケージファイルをダブルクリックすることでしょう。

こうしてユーザがインストール操作を続けると、トロイの木馬がインストールされます:インストールには管理者のパスワードが必要なため、トロイの木馬はすべてのRoot権限を与えられたことになります。実際にはビデオコーデックはインストールされず、ユーザが件のウェブサイトに戻っても、同じページが表示され、再びダウンロードが繰り返されるだけです。

DNSChangerの一種であるこのトロイの木馬は、MacのDNSサーバ(ウェブサイトおよび他のインターネットサービスのために、ドメイン名とIPアドレスの関係を照会するために使うサーバ)を変更するために、scutilというコマンドを利用する洗練された方法を使っています。こうして新たに指定された、悪意のある、DNSサーバが機能していると、ウェブ要求の一部を乗っ取り、ユーザをフィシングサイト(eBay、PayPal、あるいは銀行の振りをした詐欺サイト)へ転送するか、他のポルノサイトの広告が表示されたウェブページへ転送します。前者の場合、本物のサイトが開かれたと思ったユーザが、促されるままにユーザ名とパスワード、クレジットカード番号、あるいは口座番号を入力してしまうと、それらの情報は横取りされてしまいます。後者の場合は、単に広告収入を目当てにしたものと思われます。

Mac OS X 10.4では、オペレーティングシステムのGUIで変更されたDNSサーバを確認することはできません。Mac OS X 10.5では、ネットワーク環境設定の詳細画面で確認できます:追加されたDNSサーバは灰色で表示され、手動では除去できません。(現在、Integoではそれ以前のMac OS Xでの検証を行っています;scutilコマンドはすべてのMac OS Xで使えますので、今のところ古いOS Xも感染すると考えられます。)このトロイの木馬は、そのDNSサーバが機能しているかどうか、1分毎にチェックするroot crontabもインストールします。ネットワーク環境を変更されるとDNSサーバも変更される可能性があるため、このcronジョブはこのような場合にもその悪意のあるDNSサーバがアクティブなサーバであることを確認し続けるのです。

また、このトロイの木馬には、いくつかの亜種があり、多分、ユーザの住む国によって異なる誘いの手口が用意されていると思われます。ディスクイメージのダウンロードを繰り返すことで、いくつかの異なるバージョンが存在することが確認されています。

推奨する対策:

この脅威に対する最善の対策は、2007年10月31日付けのウイルス定義(Definitions)ファイルと共にIntego VirusBarrier X4をインストールすることです。Intego VirusBarrier X4は、悪意のあるコードを駆除し、トロイの木馬がインストールされることを防ぎます。同時にIntegoでは、信頼できないソースや疑いのあるウェブサイトから、絶対にソフトウェアをダウンロードしてインストールしないようにお勧めします。

Integoについて:

Integoは、Macintosh用のデスクトップ・インターネット・セキュリティおよび個人情報保護ソフトウェアを開発および販売しています。

Integoは、インターネットの危険からユーザとそのMacを守るあらゆる範囲のソフトウェアを提供しています。Integoの多言語対応のソフトウェアとサポートは、多くのMac関連誌から褒賞され、60以上の国で百万人以上のユーザを守り続けています。Integoは、米国、フランス、日本に事務所を設置しています。

インターネットの危険が増大する現在、Integoは、最新のセキュリティおよび個人情報に対する脅威から、ユーザとそのMacを守る新しいソフトウェアを開発するために日々尽力しています。

We protect your world.

home | contact